PT-2024-9797 · Linux+5 · Linux Kernel+5

Publicado

2024-04-22

·

Atualizado

2025-09-17

·

CVE-2024-38572

CVSS v3.1

7.1

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
Nome do software vulnerável e versões afetadas:
Versões do kernel Linux anteriores à 6.6.37
Descrição:
O problema está relacionado a um acesso fora dos limites na função qmi invoke handler(). Isso ocorre porque não há uma entrada terminadora para ath12k qmi msg handlers, o que leva a um aviso KASAN. A vulnerabilidade pode permitir que um invasor cause uma negação de serviço. A função qmi invoke handler() é usada para lidar com mensagens QMI, e a falta de uma entrada terminadora pode fazer com que ela acesse a memória fora dos limites da matriz ath12k qmi msg handlers.
Recomendações:
Para resolver o problema, atualize o kernel do Linux para a versão 6.6.37 ou posterior. Como solução temporária, considere desativar a função qmi invoke handler() até que um patch esteja disponível. No entanto, isso pode ter consequências indesejadas e deve ser cuidadosamente avaliado antes da implementação.
No momento, não há informações sobre outras versões que contenham uma correção para essa vulnerabilidade.

Exploit

Correção

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

BDU:2024-11571
CVE-2024-38572
MGASA-2024-0263
MGASA-2024-0266
SUSE-SU-2024:2571-1
SUSE-SU-2024:2896-1
SUSE-SU-2024:2973-1
SUSE-SU-2025:20008-1
SUSE-SU-2025:20028-1
USN-6949-1
USN-6949-2
USN-6952-1
USN-6952-2
USN-6955-1

Produtos afetados

Astra Linux
Linuxmint
Linux Kernel
Red Os
Suse
Ubuntu