PT-2024-7839 · Linux+4 · Linux Kernel+4

Publicado

2024-04-12

·

Atualizado

2025-02-03

·

CVE-2024-27009

CVSS v3.1

4.7

Média

VetorAV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
Existe uma condição de corrida na função ccw device set online() que pode fazer com que o processo de ativação falhe, deixando o dispositivo afetado em um estado inconsistente. Como resultado, tentativas subsequentes de ativar esse dispositivo falham com o código de retorno ENODEV. O problema ocorre quando uma solicitação de verificação de caminho chega após a conclusão da espera pelo estado final do dispositivo, mas antes que o estado do resultado seja avaliado. Esse problema pode ser corrigido garantindo que o bloqueio do dispositivo CCW seja mantido entre a determinação do estado final e a verificação do estado do resultado. Desde o commit 2297791c92d0, as solicitações de verificação de caminho são mais prováveis de ocorrer durante a inicialização, resultando em uma chance maior de ocorrência dessa condição de corrida.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-362

Identificadores relacionados

BDU:2024-09339
CVE-2024-27009
DSA-5680-1
MGASA-2024-0263
MGASA-2024-0266
SUSE-SU-2025:20008-1
SUSE-SU-2025:20028-1
USN-6893-1
USN-6893-2
USN-6893-3
USN-6898-1
USN-6898-2
USN-6898-3
USN-6898-4
USN-6917-1
USN-6918-1
USN-6919-1
USN-6927-1
USN-7019-1

Produtos afetados

Astra Linux
Linuxmint
Linux Kernel
Red Os
Ubuntu