PT-2024-7589 · Linux+6 · Linux Kernel+6
Dan Carpenter
·
Publicado
2024-08-22
·
Atualizado
2025-09-29
·
CVE-2024-49852
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 6.6.58
Descrição
O problema está relacionado a uma vulnerabilidade do tipo “use after free” na função efc nport vport del() no componente SCSI do kernel Linux, especificamente nos módulos elx e libefc. Essa vulnerabilidade pode permitir que um invasor comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. A vulnerabilidade ocorre quando a função kref put() chama nport->release, o que libera a memória “nport”, mas em seguida desreferencia “nport” na linha seguinte, resultando em um uso após liberação.
Recomendações
Para versões do kernel Linux anteriores à 6.6.58, atualize para a versão 6.6.58 ou posterior para resolver o problema. Como solução temporária, considere reordenar as linhas na função efc nport vport del() para evitar o uso após liberação, chamando a função efc nport free() após a contagem de referências cair para zero e, em seguida, evitando quaisquer outras desreferências da memória “nport”.
Exploit
Correção
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu