PT-2024-33836 · Linux+6 · Linux Kernel+6
Alexander Sverdlin
·
Publicado
2024-10-01
·
Atualizado
2026-03-13
·
CVE-2024-49998
CVSS v3.1
4.7
Média
| Vetor | AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas:
Kernel do Linux (versões afetadas não especificadas)
Descrição:
Foi corrigida uma vulnerabilidade no kernel do Linux relacionada à sequência de desligamento do driver lan9303. A questão envolve dois problemas: um em que o driver lan9303 chama dev get drvdata() em um momento arbitrário durante a execução, e outro em que a definição de dp->conduit->dsa ptr = NULL ocorre simultaneamente ao processamento de pacotes recebidos, levando a possíveis referências a ponteiros nulos. Fechar a interface conduit resolve ambos os problemas ao interromper a máquina de estados phylink e garantir que as solicitações ioctls, rtnetlinks e ethtool nas portas do usuário não sejam mais propagadas para o driver.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
NULL Pointer Dereference
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Debian
Linuxmint
Linux Kernel
Suse
Ubuntu