CVE-2021-47499

Nome do software vulnerável e versões afetadas:

Kernel do Linux (versões afetadas não especificadas)

Descrição:

O problema está relacionado a um possível vazamento de memória no kernel do Linux, especificamente no driver kxcjk-1013. Quando o tipo ACPI é ACPI SMO8500, o data->dready trig não será definido e a memória alocada por iio triggered buffer setup() não será liberada, causando um vazamento de memória. O vazamento de memória pode ser identificado por um objeto sem referência, e um backtrace é fornecido para mostrar a pilha de chamadas que leva ao vazamento. O problema pode ser corrigido removendo a condição data->dready trig nas funções probe e remove.

Recomendações:

Para resolver o problema, remova a condição data->dready trig nas funções probe e remove. Como solução alternativa temporária, considere desativar a função kxcjk1013 probe() até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável kxcjk 1013 para minimizar o risco de exploração. Evite usar a função iio triggered buffer setup() no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.