PT-2024-7600 · Linux+8 · Linux Kernel+8
Baokun Li
·
Publicado
2024-09-03
·
Atualizado
2025-09-29
·
CVE-2024-49983
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 6.6.58
Descrição
O problema está relacionado à função
ext4 ext replay update ex() no módulo do sistema de arquivos ext4 do kernel Linux. Trata-se de uma vulnerabilidade de liberação dupla de memória, na qual a memória previamente liberada é acessada novamente, podendo causar impactos na confidencialidade, integridade e disponibilidade. A vulnerabilidade ocorre quando ext4 force split extent at() é chamada dentro de ext4 ext replay update ex(), atualizando ppath mas liberando path, o que pode desencadear uma liberação dupla. A correção envolve descartar o ppath desnecessário e usar path diretamente, bem como usar ext4 find extent() para atualizar path e propagar seu retorno de erro.Recomendações
Para versões do kernel Linux anteriores à 6.6.58, atualize para a versão 6.6.58 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função vulnerável
ext4 ext replay update ex() até que um patch esteja disponível. Além disso, evite usar a variável ppath no caminho de código afetado para minimizar o risco de exploração.Exploit
Correção
Double Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Debian
Linuxmint
Linux Kernel
Red Hat
Red Os
Suse
Ubuntu