CVE-2024-49985

Nome do software vulnerável e versões afetadas:

Versões do kernel Linux anteriores à 6.6.58

Descrição:

Foi corrigida uma vulnerabilidade no kernel Linux, especificamente no módulo i2c: stm32f7. O problema ocorre quando um controlador de relógio é conectado ao controlador de barramento I2C, como o Versaclock ou o codec I2C AIC32x4. Uma transferência I2C acionada pela chamada de retorno prepare do clk ops do controlador de relógio pode causar um impasse no mutex prepare lock em drivers/clk/clk.c. Isso acontece porque o controlador de clock captura o mutex prepare lock, executa a operação de preparação, incluindo o acesso I2C, e então tenta capturar o mutex prepare lock novamente, resultando em um impasse. A correção envolve o uso de chamadas simples clk enable() e clk disable() para habilitar e desabilitar o clock durante a suspensão e retomada em tempo de execução, evitando o mutex prepare lock.

Recomendações:

Para versões do kernel Linux anteriores à 6.6.58, atualize para a versão 6.6.58 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar a função clk prepare enable() até que um patch esteja disponível. Restrinja o acesso ao mutex prepare lock para minimizar o risco de exploração. Evite usar o callback clk ops prepare no controlador de barramento I2C afetado até que o problema seja resolvido.