PT-2024-31338 · Linux+6 · Linux Kernel+6
Publicado
2024-08-07
·
Atualizado
2025-09-29
·
CVE-2024-44971
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 6.6.50
Descrição
Uma vulnerabilidade de vazamento de memória foi corrigida no kernel do Linux. O problema ocorre na função
bcm sf2 mdio register(), que chama of phy find device() e, em seguida, phy device remove() em um loop para remover dispositivos PHY existentes. A função of phy find device() acaba chamando bus find device(), que chama get device() na struct device * retornada para incrementar a contagem de referências. No entanto, a implementação atual não decrementa a contagem de referências, causando um vazamento de memória. A vulnerabilidade foi corrigida com a adição de uma chamada phy device free() que faltava para diminuir a contagem de referências via put device(), a fim de equilibrar a contagem de referências.Recomendações
Para resolver o problema, atualize o kernel do Linux para a versão 6.6.50 ou posterior. Como solução temporária, considere desativar a função
bcm sf2 mdio register() até que um patch esteja disponível. Restrinja o acesso ao módulo bcm sf2 vulnerável para minimizar o risco de exploração. Evite usar o parâmetro struct device * no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
Memory Leak
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu