CVE-2022-49235

Nome do Software Vulnerável e Versões Afetadas Kernel do Linux (versões afetadas não especificadas)

Descrição Uma vulnerabilidade no kernel do Linux foi identificada, especificamente no módulo ath9k htc. O problema é causado pela falta de inicialização de campo nas funções htc connect service() e htc issue send(). Isso resulta no uso de valores não inicializados, levando a potenciais vazamentos de informações. A vulnerabilidade foi relatada pelo Syzbot, que identificou dois bugs KMSAN no módulo ath9k. Os bugs são causados pela falta de inicialização das variáveis svc meta len e pad em htc connect service() e do array htc frame hdr::control em htc issue send(). Para corrigir o problema, a variável svc meta len é inicializada com 0, e o array htc frame hdr::control é zerado.

Recomendações Como solução temporária, considere desabilitar a função htc connect service() até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável ath9k htc para minimizar o risco de exploração. Evite usar a função htc issue send() no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.