PT-2024-35634 · Linux+5 · Linux Kernel+5
Publicado
2024-11-26
·
Atualizado
2026-05-26
·
CVE-2024-53187
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 6.12.0-next-20241118-syzkaller
Descrição
O problema está relacionado ao recurso io uring no kernel Linux, onde a função
io pin pages não verifica adequadamente se há estouros de memória. O parâmetro uaddr da função io pin pages() vem diretamente do usuário e pode conter dados inválidos, o que pode levar a estouros de memória se o tamanho for simplesmente somado a ele. Isso pode causar problemas na função io uaddr map e em outras funções relacionadas, como io rings map e io allocate scq urings.Recomendações
Para versões do kernel Linux anteriores à 6.12.0-next-20241118-syzkaller, considere atualizar para uma versão mais recente que inclua a correção para este problema. Como solução temporária, considere restringir o acesso ao recurso
io uring para minimizar o risco de exploração. Além disso, evite usar o parâmetro uaddr nas funções afetadas até que o problema seja resolvido. No momento, não há informações sobre outras medidas de mitigação específicas.Exploit
Correção
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Linuxmint
Linux Kernel
Suse
Ubuntu