PT-2024-32733 · Linux+8 · Linux Kernel+8
Keyu Man
·
Publicado
2024-08-29
·
Atualizado
2026-05-26
·
CVE-2024-47678
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 6.6.58
Descrição
O problema diz respeito à ordem dos limites de taxa para mensagens ICMP no kernel Linux. Para evitar ataques de canal lateral, a verificação por destino precisa ser aplicada primeiro. O patch altera a ordem dos limitadores de taxa, aplicando primeiro o limite de taxa global do host e, em seguida, o limite de taxa por destino. Isso garante que o limite de taxa para todo o host permaneça eficaz em manter a árvore inetpeer pequena, mesmo sob ataques DDOS. A função
icmp global allow() verifica o limite para todo o host, e os créditos são consumidos por icmp global consume() se as operações anteriores forem bem-sucedidas. O limite por destino é verificado e atualizado, potencialmente adicionando um novo nó à árvore inetpeer.Recomendações
Para versões do kernel Linux anteriores à 6.6.58, atualize para a versão 6.6.58 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a mensagens ICMP para minimizar o risco de exploração. Evite usar a função
icmp global allow() até que o problema seja resolvido. Restrinja o acesso ao limite de taxa por destino para minimizar o risco de ataques de canal lateral.Exploit
Correção
DoS
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Debian
Linuxmint
Linux Kernel
Red Hat
Red Os
Suse
Ubuntu