PT-2024-3410 · Linux+7 · Linux Kernel+7
Davide Caratti
·
Publicado
2024-02-26
·
Atualizado
2025-09-29
·
CVE-2024-26782
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Versões do kernel Linux anteriores à 6.8.0-rc1+
Descrição:
A vulnerabilidade está relacionada a um problema de liberação dupla na implementação do MPTCP (Multipath TCP) do kernel do Linux. Quando um servidor MPTCP aceita uma conexão de entrada, ele clona seu soquete de escuta. No entanto, o ponteiro para ‘inet opt’ do novo soquete tem o mesmo valor que o original, levando a um erro de liberação dupla quando o programa é encerrado. Isso pode causar uma condição de negação de serviço (DoS).
Recomendações:
Para resolver este problema, atualize o kernel do Linux para uma versão que inclua a correção para a vulnerabilidade de liberação dupla, que é a versão 6.8.0-rc1 ou posterior. Se a atualização não for possível, considere desativar o MPTCP ou restringir seu uso para minimizar o risco de exploração.
Exploit
Correção
Double Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Centos
Linuxmint
Linux Kernel
Red Hat
Red Os
Suse
Ubuntu