CVE-2024-38558

Nome do software vulnerável e versões afetadas:

Kernel do Linux (versões afetadas não especificadas)

Descrição:

O problema está relacionado ao componente openvswitch no kernel do Linux, onde o caminho OVS PACKET CMD EXECUTE apresenta uma vulnerabilidade que pode levar à correspondência incorreta de pacotes e, potencialmente, à execução de ações erradas. Isso ocorre durante a análise de cabeçalhos ICMPv6, especificamente com o campo ipv6.nd, que é uma união que compartilha espaço entre nd e ct orig e contém os metadados originais da tupla conntrack. O problema surge quando o código de análise de pacotes zera os campos na chave correspondente às informações de Neighbor Discovery, mesmo que não se trate de um pacote ND. Isso pode resultar na exclusão de todos os bytes do endereço de destino, exceto os últimos 4, da tupla conntrack original. O problema afeta apenas o caminho OVS PACKET CMD EXECUTE e não afeta os pacotes que entram no caminho de dados do OVS a partir de interfaces de rede.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.