CVE-2024-26901

Kernel do Linux (versões afetadas não especificadas)

Foi identificada uma vulnerabilidade de vazamento de informações do kernel na função do sys name to handle(). A vulnerabilidade permite a divulgação de informações confidenciais. O problema decorre do uso de kmalloc() em vez de kzalloc(), levando ao acesso a memória não inicializada. A vulnerabilidade foi detectada pelo syzbot, que emitiu um relatório detalhando o problema. O relatório indica que a vulnerabilidade ocorre na função instrument copy to user, especificamente nas funções copy to user e copy to user. A vulnerabilidade pode ser explorada para causar uma negação de serviço.

Para resolver o problema, use kzalloc() em vez de kmalloc() na função do sys name to handle() para garantir que a memória alocada seja inicializada. Como solução temporária, considere desativar a função do sys name to handle() até que um patch esteja disponível. No entanto, como as informações fornecidas sugerem que o problema é resolvido usando kzalloc(), a recomendação principal é aplicar essa correção. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade, mas usar kzalloc() conforme sugerido deve mitigar o problema.