CVE-2024-50038

Nome do software vulnerável e versões afetadas:

Versões do kernel Linux anteriores à 6.6.58

Descrição:

Foi corrigida uma vulnerabilidade no kernel Linux, especificamente no componente netfilter: xtables. O problema surge quando a correspondência xt cluster é chamada via ebtables, causando um aviso devido ao módulo se registrar em NFPROTO UNSPEC, mas assumindo o processamento de pacotes ipv4/ipv6. Trata-se de um problema geral, pois usuários diretos da interface set/getsockopt podem chamar alvos/correspondências destinados apenas para uso com ip(6)tables. O problema ocorre quando correspondências e alvos assumem que skb network header() é válido, o que só é verdade quando chamado da camada inet. Alvos que retornam XT CONTINUE ou outros veredictos do xtables também devem ser restringidos, pois são incompatíveis com o traverser do ebtables.

Recomendações:

Para versões do kernel Linux anteriores à 6.6.58, atualize para a versão 6.6.58 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da correspondência xt cluster e de outros alvos/correspondências afetados para minimizar o risco de exploração. Além disso, certifique-se de que o módulo connbytes esteja devidamente habilitado para evitar falhas na ativação da família conntrack correspondente.