PT-2024-8507 · Linux+5 · Linux Kernel+5

Publicado

2024-04-18

·

Atualizado

2025-11-19

·

CVE-2024-35849

CVSS v3.1

7.1

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
Nome do software vulnerável e versões afetadas
Kernel do Linux (versões afetadas não especificadas)
Descrição
A vulnerabilidade está relacionada a um vazamento de informações na função btrfs ioctl logical to ino(). Esse problema ocorre porque a função copia uma ‘struct btrfs data container’ de volta para o espaço do usuário, e esse contêiner é alocado via kvmalloc(), que não zera a memória. Como resultado, a memória não inicializada pode ser exposta ao espaço do usuário, revelando potencialmente informações confidenciais. O problema pode ser corrigido usando kvzalloc() em vez disso, que zera a memória na alocação.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Use of Uninitialized Resource

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-908CWE-200

Identificadores relacionados

AZL-42118
BDU:2024-10067
CVE-2024-35849
DLA-3840-1
DLA-3842-1
MGASA-2024-0263
MGASA-2024-0266
OESA-2024-1648
OESA-2024-1649
OESA-2024-1650
OESA-2024-1651
OESA-2024-1678
OESA-2024-1679
SUSE-SU-2024:1979-1
SUSE-SU-2024:1983-1
SUSE-SU-2024:2008-1
SUSE-SU-2024:2019-1
SUSE-SU-2024:2135-1
SUSE-SU-2024:2184-1
SUSE-SU-2024:2190-1
SUSE-SU-2024:2203-1
SUSE-SU-2024:2973-1
SUSE-SU-2025:20008-1
SUSE-SU-2025:20028-1
SUSE-SU-2025:20166-1
SUSE-SU-2025:20249-1
USN-6896-1
USN-6896-2
USN-6896-3
USN-6896-4
USN-6896-5
USN-6898-1
USN-6898-2
USN-6898-3
USN-6898-4
USN-6917-1
USN-6919-1
USN-6927-1
USN-6949-1
USN-6949-2
USN-6952-1
USN-6952-2
USN-6955-1
USN-7019-1
USN-7796-1
USN-7796-2
USN-7796-3
USN-7796-4
USN-7797-1
USN-7797-2
USN-7797-3
USN-7854-1
USN-7865-1
USN-7875-1

Produtos afetados

Astra Linux
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu