PT-2025-18505 · Linux+6 · Linux Kernel+6
Publicado
2022-11-09
·
Atualizado
2025-08-05
·
CVE-2022-49788
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
Kernel Linux (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade foi corrigida no kernel Linux, especificamente na função
vmci host do receive datagram(). O problema está relacionado a um vazamento de informações, no qual a struct vmci event qp alocada por qp notify peer() contém preenchimento que pode transportar dados não inicializados para o espaço do usuário. Isso foi observado pelo KMSAN, que relatou um vazamento de informações do kernel em instrument copy to user(). A vulnerabilidade pode permitir acesso não autorizado a informações sensíveis.Recomendações
Para resolver o problema, utilize
memset() para prevenir vazamentos de informações. Adicionalmente, recomenda-se corrigir preventivamente qp notify peer local(), que pode sofrer do mesmo problema. Como solução alternativa temporária, considere restringir o acesso à função vulnerável vmci host do receive datagram() até que um patch esteja disponível.Exploit
Correção
Use of Uninitialized Resource
Access of Uninitialized Pointer
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Linux Kernel
Red Hat
Rocky Linux
Suse