CVE-2024-26806

Nome do software vulnerável e versões afetadas:

Kernel do Linux (versões afetadas não especificadas)

Descrição:

O problema está relacionado às callbacks ->runtime suspend() e ->runtime resume() no driver cadence-qspi. Não se espera que essas callbacks chamem spi controller suspend() e spi controller resume(). O problema surge porque ->runtime resume() é chamado em um contexto em que o bloqueio já está ativo, levando a um impasse. Isso ocorre na chamada de retorno ->exec op(), onde a contagem de uso é incrementada. Como resultado, todas as operações seriam impedidas assim que o dispositivo fosse suspenso automaticamente. A vulnerabilidade está associada a um impasse de mutex, que pode ser destacado por uma árvore de chamadas envolvendo spi mem exec op(), spi mem access start(), cqspi exec mem op(), pm runtime resume and get(), cqspi resume() e spi controller resume().

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.