CVE-2024-49889

Nome do software vulnerável e versões afetadas:

Versões do kernel Linux anteriores à 6.6.58

Descrição:

O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” no sistema de arquivos ext4, especificamente na função ext4 ext show leaf(). Essa vulnerabilidade pode ser acionada quando EXT DEBUG está definido, mas não afeta a funcionalidade do sistema. O problema surge quando a variável path é liberada por engano ou realocada em ext4 find extent() e, em seguida, usada novamente em ext4 ext show leaf(), levando potencialmente a uma condição de uso após liberação. A vulnerabilidade pode permitir que um invasor comprometa a confidencialidade, integridade e disponibilidade de informações protegidas.

Recomendações:

Para versões do kernel Linux anteriores à 6.6.58, atualize para a versão 6.6.58 ou posterior para resolver o problema. Como solução temporária, considere desativar a definição EXT DEBUG para impedir que a vulnerabilidade seja acionada. Além disso, restrinja o acesso à função ext4 ext show leaf() e aos componentes relacionados para minimizar o risco de exploração.