CVE-2024-56644

Versões do kernel Linux anteriores à 6.6.74

Foi corrigida uma vulnerabilidade no kernel Linux relacionada ao módulo net/ipv6. O problema ocorre quando é recebido um pacote ICMPv6 indicando uma alteração do MTU para o caminho, resultando na criação de uma exceção dst. Se uma conexão TCP que utiliza a exceção dst para rotear pacotes começar a expirar e o coletor de lixo FIB6 não for executado antes que o TCP execute ip6 negative advice() para a exceção dst expirada, pode ocorrer um vazamento de dst. Esse vazamento pode fazer com que seja relatada uma contagem de referências desequilibrada para o dispositivo de loopback de um namespace de rede que está sendo destruído. A vulnerabilidade não está presente na versão IPv4, ipv4 negative advice().

Para resolver o problema, atualize para a versão 6.6.74 ou posterior do kernel do Linux. Como solução temporária, considere desativar a função ip6 negative advice() até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável net/ipv6 para minimizar o risco de exploração. Evite usar as funções dst init() e dst hold() no endpoint da API afetado até que o problema seja resolvido.