Vulnerabilidad en kernel de Linux (CVE-2024-36000)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/05/2024

Última modificación:

23/09/2025

Descripción

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/hugetlb: corrige la falta de Hugetlb_lock para descarga de resv. Hay un informe reciente sobre UFFDIO_COPY sobre Hugetlb: https://lore.kernel.org/all/000000000000ee06de0616177560@google.com/ 350: lockdep_assert_held(&amp;hugetlb_lock); Debería ser un problema en hugetlb pero se activa en un contexto de error de usuario, donde entra en la ruta poco probable en la que dos subprocesos modifican el mapa resv juntos. Mike tiene una solución en esa ruta para la descarga de resv, pero parece que se pasó por alto el criterio de bloqueo: hugetlb_cgroup_uncharge_folio_rsvd() actualizará el puntero de cgroup, por lo que es necesario llamarlo con el bloqueo retenido.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

5.50

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:linux:linux_kernel::::::::	5.9.7 (incluyendo)	5.10 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	5.10.1 (incluyendo)	6.1.91 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	6.2 (incluyendo)	6.6.30 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	6.7 (incluyendo)	6.8.9 (excluyendo)
cpe:2.3:o:linux:linux_kernel:5.10:-::::::
cpe:2.3:o:linux:linux_kernel:5.10:rc3::::::
cpe:2.3:o:linux:linux_kernel:5.10:rc4::::::
cpe:2.3:o:linux:linux_kernel:5.10:rc5::::::
cpe:2.3:o:linux:linux_kernel:5.10:rc6::::::
cpe:2.3:o:linux:linux_kernel:5.10:rc7::::::
cpe:2.3:o:linux:linux_kernel:6.9:rc1::::::
cpe:2.3:o:linux:linux_kernel:6.9:rc2::::::
cpe:2.3:o:linux:linux_kernel:6.9:rc3::::::
cpe:2.3:o:linux:linux_kernel:6.9:rc4::::::
cpe:2.3:o:linux:linux_kernel:6.9:rc5::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:o:linux:linux_kernel::::::::	5.9.7 (incluyendo)	5.10 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	5.10.1 (incluyendo)	6.1.91 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	6.2 (incluyendo)	6.6.30 (excluyendo)
cpe:2.3:o:linux:linux_kernel::::::::	6.7 (incluyendo)	6.8.9 (excluyendo)
cpe:2.3:o:linux:linux_kernel:5.10:-::::::
cpe:2.3:o:linux:linux_kernel:5.10:rc3::::::
cpe:2.3:o:linux:linux_kernel:5.10:rc4::::::
cpe:2.3:o:linux:linux_kernel:5.10:rc5::::::
cpe:2.3:o:linux:linux_kernel:5.10:rc6::::::
cpe:2.3:o:linux:linux_kernel:5.10:rc7::::::
cpe:2.3:o:linux:linux_kernel:6.9:rc1::::::
cpe:2.3:o:linux:linux_kernel:6.9:rc2::::::
cpe:2.3:o:linux:linux_kernel:6.9:rc3::::::
cpe:2.3:o:linux:linux_kernel:6.9:rc4::::::
cpe:2.3:o:linux:linux_kernel:6.9:rc5::::::

Vulnerabilidad en kernel de Linux (CVE-2024-36000)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información