PT-2024-7724 · Linux+3 · Linux Kernel+3
Syzbot
+1
·
Publicado
2024-02-19
·
Atualizado
2025-02-03
·
CVE-2024-26849
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
O problema está relacionado ao componente netlink do kernel do Linux, onde o código de validação ignora um atributo malformado devido à ausência de um tamanho na matriz minlen para NLA BE32. Isso pode levar a um bug de valor não inicializado, causando potencialmente uma negação de serviço. A vulnerabilidade está associada às funções
nla validate range unsigned, nla validate int range e validate nla em lib/nlattr.c. Outros atributos, como BITFIELD32, SINT e UINT, também estão ausentes da matriz minlen e devem ser adicionados.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Linux Kernel
Red Os
Suse