CVE-2023-52933

Nome do Software Vulnerável e Versões Afetadas Kernel Linux (versões afetadas não especificadas)

Descrição Uma vulnerabilidade no Kernel Linux foi resolvida, relacionada ao tratamento e verificação de consistência da contagem de xattr ids no sistema de arquivos Squashfs. O problema surge em um sistema de arquivos corrompido, onde o valor de xattr ids é 4294967071, que se torna um número negativo -225 quando armazenado em uma variável com sinal. Isso causa overflow de computação devido à tipagem incorreta, levando a duas falhas: uma apenas em sistemas de 64 bits, onde a variável inteira com sinal xattr ids causa extensão de sinal, e outra apenas em sistemas de 32 bits, onde a variável inteira sofre overflow quando multiplicada. O efeito disso é um cálculo de comprimento 0, o que pode fazer com que o código de verificação de consistência falhe.

Recomendações Para resolver o problema, considere atualizar o Kernel Linux para uma versão que inclua a correção para o tratamento e verificação de consistência da contagem de xattr ids do Squashfs. Como solução temporária, considere aplicar a correção ao código Squashfs alterando a variável xattr ids para "unsigned int" em sistemas de 64 bits ou fazendo o cast da variável para u64 nas macros SQUASHFS XATTR *(A) em sistemas de 32 bits.