CVE-2022-49839

Nome do Software Vulnerável e Versões Afetadas Versões do kernel do Linux anteriores a 6.1.0-rc1+ #174

Descrição Uma vulnerabilidade no kernel do Linux foi corrigida, especificamente no módulo scsi transport sas. O problema ocorre quando transport add device() falha em sas phy add(), fazendo com que o kernel sofra uma falha grave ao tentar excluir o dispositivo em transport remove device() chamado a partir de sas remove host(). Isso resulta em uma desreferência de ponteiro NULL no kernel. A vulnerabilidade é corrigida verificando e tratando o valor de retorno de transport add device() em sas phy add().

Recomendações Para resolver o problema, atualize o kernel do Linux para uma versão posterior a 6.1.0-rc1+ #173. Como solução temporária, considere desabilitar a função sas phy add() até que uma correção esteja disponível. Restrinja o acesso ao módulo scsi transport sas para minimizar o risco de exploração. Evite usar a função transport add device() no endpoint da API afetado até que o problema seja resolvido.