Vulnerabilidad en kernel de Linux (CVE-2023-52730)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

21/05/2024

Última modificación:

23/09/2025

Descripción

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mmc: sdio: soluciona posibles fugas de recursos en algunas rutas de error. Si sdio_add_func() o sdio_init_func() falla, sdio_remove_func() no puede liberar los recursos, porque no se presenta la función sdio en estos dos casos, no llamará a of_node_put() o put_device(). Para solucionar estas fugas, haga que sdio_func_present() solo controle si es necesario llamar a device_del() o no, luego llame siempre a of_node_put() y put_device(). En caso de error en sdio_init_func(), la referencia de &#39;card-&gt;dev&#39; no se obtiene, para evitar la colocación redundante en sdio_free_func_cis(), mueva get_device() a sdio_alloc_func() y put_device() a sdio_release_func(), puede mantenga equilibrada la función get/put. Sin este parche, mientras realiza la prueba de inyección de fallas, puede obtener los siguientes informes de fugas; después de esta solución, la fuga desaparece. objeto sin referencia 0xffff888112514000 (tamaño 2048): comunicación "kworker/3:2", pid 65, jiffies 4294741614 (edad 124,774 s) volcado hexadecimal (primeros 32 bytes): 00 e0 6f 12 81 88 ff ff 60 58 8d 06 81 8 y siguientes ff ..o.....`X...... 10 40 51 12 81 88 ff ff 10 40 51 12 81 88 ff ff .@Q......@Q..... retroceso : [&lt;000000009e5931da&gt;] kmalloc_trace+0x21/0x110 [&lt;000000002f839ccb&gt;] mmc_alloc_card+0x38/0xb0 [mmc_core] [&lt;0000000004adcbf6&gt;] mmc_sdio_init_card+0xde/0x170 [mmc_core] [&lt;000000007538fea0&gt;] mmc_attach_sdio+0xcb/0x1b0 [mmc_core] [&lt;00000000d4fdeba7&gt;] mmc_rescan+0x54a/0x640 [mmc_core] objeto sin referencia 0xffff888112511000 (tamaño 2048): comm "kworker/3:2", pid 65, santiamén 4294741623 (edad 124,766 s) volcado hexadecimal (primero 32 bytes): 00 40 51 12 81 88 ff ff e0 58 8d 06 81 88 ff ff .@Q......X...... 10 10 51 12 81 88 ff ff 10 10 51 12 81 88 ff ff ..Q. ......P..... rastreo inverso: [&lt;000000009e5931da&gt;] kmalloc_trace+0x21/0x110 [&lt;00000000fcbe706c&gt;] sdio_alloc_func+0x35/0x100 [mmc_core] [&lt;00000000c68f4b50&gt;] mmc_attach_sdio.cold. 18+0xb1/ 0x395 [mmc_core] [&lt;00000000d4fdeba7&gt;] mmc_rescan+0x54a/0x640 [mmc_core]

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

5.50

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:linux:linux_kernel::::::::	2.6.33 (incluyendo)	4.14.306 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	4.15 (incluyendo)	4.19.273 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	4.20 (incluyendo)	5.4.232 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	5.5 (incluyendo)	5.10.169 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	5.11 (incluyendo)	5.15.95 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	5.16 (incluyendo)	6.1.13 (excluyendo)
cpe:2.3:o:linux:linux_kernel:6.2:rc1::::::
cpe:2.3:o:linux:linux_kernel:6.2:rc2::::::
cpe:2.3:o:linux:linux_kernel:6.2:rc3::::::
cpe:2.3:o:linux:linux_kernel:6.2:rc4::::::
cpe:2.3:o:linux:linux_kernel:6.2:rc5::::::
cpe:2.3:o:linux:linux_kernel:6.2:rc6::::::
cpe:2.3:o:linux:linux_kernel:6.2:rc7::::::
cpe:2.3:o:linux:linux_kernel:6.2:rc8::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en kernel de Linux (CVE-2023-52730)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información