PT-2024-8492 · Linux+8 · Linux Kernel+8
David Thompson
·
Publicado
2024-03-29
·
Atualizado
2025-09-29
·
CVE-2024-35885
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do kernel Linux anteriores à 5.15.0-bf.6.gef6992a
Descrição
A vulnerabilidade está relacionada ao driver mlxbf gige no kernel Linux, que apresenta uma exceção de ponteiro NULL durante o desligamento do sistema por meio do comando “reboot”. Essa exceção ocorre porque o método shutdown() do driver é sempre executado, mas o método stop() pode não ser executado se a lógica de configuração da interface de rede não estiver configurada corretamente. Como resultado, o NAPI permanece habilitado, levando a uma possível exceção se o NAPI for agendado enquanto a interface de hardware estiver parcialmente desinicializada. O problema pode causar um kernel panic e impedir que o sistema seja desligado corretamente.
Recomendações
Para resolver este problema, certifique-se de que a interface de rede gerenciada pelo driver mlxbf gige seja corretamente parada durante o desligamento do sistema. Isso pode ser feito configurando a lógica de configuração da interface de rede na distribuição Linux para executar o método stop(). Além disso, considere atualizar para uma versão mais recente do kernel Linux, como a 5.15.0-bf.6.gef6992a ou posterior, que inclui a correção da vulnerabilidade.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Linuxmint
Linux Kernel
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu