PT-2024-8488 · Linux+9 · Linux Kernel+9
Syzbot
·
Publicado
2024-03-29
·
Atualizado
2025-09-29
·
CVE-2024-35888
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 6.9.0-rc1-syzkaller-00021-g962490525cff
Descrição
O problema está relacionado ao componente erspan no kernel do Linux, onde a função
ip6erspan rcv() não garante que erspan base hdr esteja presente na parte linear skb antes de acessar o campo @ver. Isso pode levar ao uso de um valor não inicializado, causando potencialmente uma negação de serviço. A vulnerabilidade foi relatada por syzbot e corrigida com a adição das chamadas pskb may pull() que estavam faltando.Recomendações
Para resolver este problema, atualize o kernel do Linux para uma versão que inclua a correção, que seja pelo menos 6.9.0-rc1-syzkaller-00021-g962490525cff ou posterior. Se a atualização não for possível, considere desativar o componente erspan como uma solução temporária para minimizar o risco de exploração.
Exploit
Correção
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Linuxmint
Linux Kernel
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu