CVE-2024-36028

Nome do software vulnerável e versões afetadas:

Versões do kernel Linux anteriores à 6.6.37

Descrição:

A vulnerabilidade está relacionada ao componente mm/hugetlb do kernel do Linux. Ela causa um kernel panic quando a função dissolve free hugetlb folio() é chamada. A causa principal do problema é que o campo deferred list da estrutura folio é unificado com o campo hugetlb subpool. Na função update and free hugetlb folio(), o campo folio-> deferred é acessado, levando a um aviso e a um kernel panic. A vulnerabilidade pode ser explorada causando uma falha de memória, o que pode levar a um ataque de negação de serviço (DoS).

Recomendações:

Para resolver o problema, atualize o kernel do Linux para a versão 6.6.37 ou posterior. Se a atualização não for possível, considere desativar o recurso hugetlb ou restringir o acesso à função vulnerável dissolve free hugetlb folio() até que um patch esteja disponível. Além disso, certifique-se de que o sistema esteja configurado para lidar adequadamente com panics do kernel e falhas de memória, a fim de minimizar o impacto da vulnerabilidade.