CVE-2024-50153

Nome do software vulnerável e versões afetadas:

Versões do kernel Linux anteriores à 6.6.61

Descrição:

Um problema de referência a ponteiro nulo (null-ptr-deref) foi relatado pela KASAN no kernel do Linux, especificamente na função target alloc device(). Esse problema ocorre quando a alocação de memória para filas de dispositivos falha e o dispositivo é liberado por dev->transport->free device(), mas dev->transport não está inicializado naquele momento, levando a um problema de referência a ponteiro nulo. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Recomendações:

Para versões do kernel Linux anteriores à 6.6.61, atualize para a versão 6.6.61 ou posterior para resolver o problema. Como solução temporária, considere desativar a função target alloc device() até que um patch esteja disponível. Restrinja o acesso ao módulo target core mod vulnerável para minimizar o risco de exploração. Evite usar a função dev->transport->free device() no caminho de código afetado até que o problema seja resolvido.