CVE-2022-49959

Nome do Software Vulnerável e Versões Afetadas Kernel do Linux (versões afetadas não especificadas)

Descrição Foi identificado um problema de vazamento de memória no kernel do Linux, especificamente no componente openvswitch. O problema ocorre quando a função ovs dp cmd new() falha durante a criação do datapath, causando um vazamento de memória devido à ausência de uma chamada kfree para o array dp->upcall portids. Este problema pode ser explorado, potencialmente levando à instabilidade do sistema ou a outras questões de segurança. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível.

Recomendações Para resolver este problema, aplique o patch que adiciona a chamada kfree ausente na função ovs dp set upcall portids(). Como solução temporária, considere desativar a função ovs dp cmd new() até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável openvswitch para minimizar o risco de exploração. Evite usar o array dp->upcall portids nos endpoints de API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.