CVE-2024-49871

Nome do software vulnerável e versões afetadas:

Versões do kernel Linux anteriores à 6.6.58

Descrição:

O problema está relacionado a uma desreferência de ponteiro NULL no kernel Linux, especificamente no módulo de entrada adp5589-keys. O problema ocorre porque i2c set clientdata() é definido no final da função de sondagem, o que pode levar a uma desreferência de ponteiro NULL se a função de sondagem falhar prematuramente. Isso se deve ao fato de a ação devm chamar adp5589 clear config() e passar o cliente i2c como argumento para obter o objeto do dispositivo usando i2c get clientdata().

Recomendações:

Para versões anteriores à 6.6.58, atualize para a versão 6.6.58 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar a função adp5589 clear config() até que um patch esteja disponível. Restrinja o acesso ao módulo adp5589-keys vulnerável para minimizar o risco de exploração. Evite usar a variável i2c client no endpoint da API afetado até que o problema seja resolvido.