PT-2024-3424 · Linux+10 · Linux Kernel+10
Guanghui Feng
·
Publicado
2024-01-04
·
Atualizado
2025-09-29
·
CVE-2023-52439
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Kernel do Linux (versões afetadas não especificadas)
Descrição:
O problema está relacionado a uma vulnerabilidade de uso após liberação (use-after-free) na função
uio open do kernel do Linux. Essa vulnerabilidade ocorre devido a uma condição de corrida entre dois núcleos, core-1 e core-2, em que core-1 libera a memória idev após desregistrar o dispositivo, mas antes que core-2 possa acessá-la, resultando em uma condição de uso após liberação. Além disso, quando core-2 libera o dispositivo e o coloca, o idev será liberado duas vezes. A vulnerabilidade pode ser corrigida tornando o idev atômico e incrementando sua referência com minor lock.Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Use After Free
Race Condition
Double Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Linux Kernel
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu