CVE-2024-49882

Nome do software vulnerável e versões afetadas:

Versões do kernel Linux anteriores à 6.6.58

Descrição:

O problema está relacionado ao sistema de arquivos ext4 no kernel Linux, onde uma vulnerabilidade na função ext4 ext try to merge up() pode causar a liberação dupla de um buffer, levando potencialmente à corrupção de memória e outros problemas. Isso pode ocorrer quando a função é chamada em um conjunto específico de circunstâncias, como quando path->p depth é 0 e a função ext4 split extent at é chamada. A vulnerabilidade pode ser acionada por uma série de eventos, incluindo as funções ext4 ext map blocks, ext4 ext handle unwritten extents e ext4 split convert extents. O número estimado de dispositivos potencialmente afetados não foi especificado.

Recomendações:

Para versões do kernel Linux anteriores à 6.6.58, atualize para a versão 6.6.58 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao sistema de arquivos ext4 vulnerável até que um patch esteja disponível. Evite usar a variável path[1].p bh no endpoint da API afetado até que o problema seja resolvido.