CVE-2022-49667

Nome do Software Vulnerável e Versões Afetadas Versões do kernel Linux anteriores à versão que contém a correção para o problema de use-after-free no driver de bonding, especificamente a correção para a desvinculação de slave 802.3ad.

Descrição Um problema de use-after-free foi identificado no driver de bonding do kernel Linux, especificamente na funcionalidade de desvinculação de slave 802.3ad. Este problema surge quando há múltiplos grupos de agregação no mesmo bond, e a função bond 3ad unbind slave invalida o agregador quando agg active ports retorna zero, permitindo que ad clear agg seja executado mesmo quando num of ports não é zero. Como resultado, bond 3ad unbind slave pode ser executado novamente para um agregador previamente limpo, levando portas slave a apontarem para memória do agregador já liberada. O problema é resolvido verificando o número real de portas no grupo antes de chamar ad clear agg.

Recomendações Para versões do kernel Linux anteriores à correção, considere aplicar o patch que inclui a correção para o problema de use-after-free no driver de bonding, especificamente a correção para a desvinculação de slave 802.3ad. Como solução temporária, considere desabilitar a funcionalidade de bonding ou restringir o uso do protocolo 802.3ad até que uma versão corrigida esteja disponível.