PT-2024-36877 · Linux+1 · Linux Kernel+1
Publicado
2024-12-27
·
Atualizado
2025-03-28
·
CVE-2024-56571
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 6.11.0-rc7
Descrição
O problema está relacionado ao componente media:uvcvideo do kernel Linux, no qual as entidades devem possuir um ID único diferente de zero, conforme a especificação UVC 1.1+ 3.7.2. A vulnerabilidade surge quando uma entidade com ID 0 ou com um ID que pertença a uma unidade já adicionada à lista de entidades é alocada. Isso pode levar a avisos devido a uma cadeia de entidades que se referem a si mesmas. O problema é resolvido negando a alocação dessas entidades.
Recomendações
Para resolver o problema, atualize o kernel do Linux para uma versão que inclua a correção para esta vulnerabilidade. Especificamente, para versões do kernel do Linux anteriores à 6.11.0-rc7, atualize para a versão 6.11.0-rc7 ou posterior. Como solução temporária, considere desativar a função
media create pad link() até que um patch esteja disponível. Restrinja o acesso ao módulo uvcvideo vulnerável para minimizar o risco de exploração. Evite usar os campos bUnitID ou bTerminalID no descritor até que o problema seja resolvido. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linux Kernel
Suse