PT-2024-5926 · Linux+6 · Linux Kernel+6
Publicado
2024-08-09
·
Atualizado
2025-09-29
·
CVE-2024-44999
CVSS v3.1
7.1
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 6.6.50
Descrição
A vulnerabilidade está relacionada ao uso de variáveis não inicializadas na função gtp dev xmit(), o que pode levar a possíveis problemas de confidencialidade, integridade e disponibilidade das informações protegidas. A vulnerabilidade foi relatada por syzbot/KMSAN e é causada pela falta de inicialização do cabeçalho IPv4 ou IPv6 no skb->head antes de acessar seus campos. Para corrigir esse problema, deve-se usar a função pskb inet may pull().
Recomendações
Para resolver o problema, atualize o kernel do Linux para a versão 6.6.50 ou posterior. Como solução temporária, considere desativar a função gtp dev xmit() até que um patch esteja disponível. No entanto, isso pode ter consequências indesejadas e deve ser cuidadosamente avaliado antes da implementação.
Observação: as informações fornecidas não incluem detalhes sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que esse problema foi explorado.
Exploit
Correção
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu