PT-2024-3359 · Linux+9 · Linux Kernel+9
Publicado
2024-03-10
·
Atualizado
2025-12-03
·
CVE-2024-26929
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Kernel Linux versão 4.18.0-425.3.1.el8.x86 64
Descrição
A vulnerabilidade está relacionada a uma liberação dupla de
fcport no driver qla2xxx, o que pode causar uma falha no servidor após o LOGO. O problema surge porque o fcport está sendo liberado duas vezes, levando a um código de operação inválido e a um bug no kernel. Para resolver isso, uma das chamadas de liberação precisa ser removida, e deve ser adicionada uma verificação para um fcport válido. Além disso, a função qla2x00 free fcport() deve ser usada em vez de kfree(). A vulnerabilidade está associada às funções qla2x00 els dcmd sp free() e qla2x00 issue logo().Recomendações
Para resolver o problema, atualize o kernel do Linux para uma versão que inclua a correção para a liberação dupla de
fcport no driver qla2xxx. Especificamente, remova uma das chamadas de liberação e adicione uma verificação para um fcport válido. Além disso, use a função qla2x00 free fcport() em vez de kfree().Observação: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
LPE
Double Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Linux Kernel
Red Hat
Red Os
Suse
Ubuntu