[TLP:CLEAR] Linux Kernel Netfilter opravuje 1 zraniteľnosť
Linux opravuje 1 zraniteľnosť v Kernel platforme Netfilter. Zraniteľnost postihuje Kernel verzie 5.14 až 6.6.14 [2]. Oprava sa nachádza v komite, ktorý je možné nájsť na [4]. Jednotlivé vydania a ich opravené verzie: Debian [5]: bullseye - 5.10.209-2 bookworm - 6.1.76-1 bookworm (security) - 6.1.85-1 trixie - 6.6.15-12 sid - 6.7.9.2 Ubuntu [6]: bionic - 4.15.0-223.235 focal - 5.4.0-174.193 jammy - 5.15.0-101.111 mantic - 6.5.0-26.26 xenial - 4.4.0-252.286
Autentizovanému lokálnemu útočníkovi je umožnené zvýšiť svoje oprávnenia pomocou opätovného uvolnenia alokovanej pamäte [1]. Detaily k zraniteľnosti a jej zneužitiu je možné nájsť na [2]. K zraniteľnosti je dostupný PoC [3].
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-1086 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 31. 1. 2024.
Odkazy
- [1] https://nvd.nist.gov/vuln/detail/CVE-2024-1086
- [2] https://pwning.tech/nftables/
- [3] https://github.com/Notselwyn/CVE-2024-1086
- [4] https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f342de4e2f33e0e39165d8639387aa6c19dff660
- [5] https://security-tracker.debian.org/tracker/CVE-2024-1086
- [6] https://ubuntu.com/security/CVE-2024-1086
Publikoval Martin Krajči dňa 15. 4. 2024.
