Vulnerabilidad en kernel de Linux (CVE-2022-49134)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-476 Desreferencia a puntero nulo (NULL)

Fecha de publicación:

26/02/2025

Última modificación:

13/03/2025

Descripción

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mlxsw: spectrum: Proteger contra puertos locales no válidos Al procesar eventos generados por el firmware del dispositivo, el controlador se protege a sí mismo de los eventos informados para puertos locales inexistentes, pero no para el puerto de la CPU (puerto local 0), que existe, pero no tiene todos los campos como cualquier puerto local. Esto puede resultar en una desreferencia de puntero NULL al intentar acceder a los campos &#39;struct mlxsw_sp_port&#39; que no están inicializados para el puerto de la CPU. el commit 63b08b1f6834 ("mlxsw: spectrum: Proteger al controlador del firmware con errores") ya manejó este problema al abandonar temprano al procesar un evento PUDE informado para el puerto de la CPU. Generalice el enfoque moviendo la verificación a una función común y haciendo uso de ella en todos los lugares relevantes.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto