Vulnerabilidad en kernel de Linux (CVE-2024-42224)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/07/2024
Última modificación:
03/11/2025
Descripción
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: dsa: mv88e6xxx: Verificación correcta de lista vacía Desde la confirmación a3c53be55c95 ("net: dsa: mv88e6xxx: Soporta múltiples buses MDIO") mv88e6xxx_default_mdio_bus() ha verificado que el valor de retorno de list_first_entry() no es NULL. Esto parece tener como objetivo proteger contra la lista chip->mdios que esté vacía. Sin embargo, no es la comprobación correcta ya que la implementación de list_first_entry no está diseñada para devolver NULL para listas vacías. En su lugar, utilice list_first_entry_or_null() que devuelve NULL si la lista está vacía. Marcado por Smatch. Compilación probada únicamente.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 4.11 (incluyendo) | 4.19.318 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 4.20 (incluyendo) | 5.4.280 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.5 (incluyendo) | 5.10.222 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.11 (incluyendo) | 5.15.163 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.16 (incluyendo) | 6.1.98 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.2 (incluyendo) | 6.6.39 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.7 (incluyendo) | 6.9.9 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://git.kernel.org/stable/c/2a2fe25a103cef73cde356e6d09da10f607e93f5
- https://git.kernel.org/stable/c/3bf8d70e1455f87856640c3433b3660a31001618
- https://git.kernel.org/stable/c/3f25b5f1635449036692a44b771f39f772190c1d
- https://git.kernel.org/stable/c/47d28dde172696031c880c5778633cdca30394ee
- https://git.kernel.org/stable/c/4c7f3950a9fd53a62b156c0fe7c3a2c43b0ba19b
- https://git.kernel.org/stable/c/8c2c3cca816d074c75a2801d1ca0dea7b0148114
- https://git.kernel.org/stable/c/aa03f591ef31ba603a4a99d05d25a0f21ab1cd89
- https://git.kernel.org/stable/c/f75625db838ade28f032dacd0f0c8baca42ecde4
- https://git.kernel.org/stable/c/2a2fe25a103cef73cde356e6d09da10f607e93f5
- https://git.kernel.org/stable/c/3bf8d70e1455f87856640c3433b3660a31001618
- https://git.kernel.org/stable/c/3f25b5f1635449036692a44b771f39f772190c1d
- https://git.kernel.org/stable/c/47d28dde172696031c880c5778633cdca30394ee
- https://git.kernel.org/stable/c/4c7f3950a9fd53a62b156c0fe7c3a2c43b0ba19b
- https://git.kernel.org/stable/c/8c2c3cca816d074c75a2801d1ca0dea7b0148114
- https://git.kernel.org/stable/c/aa03f591ef31ba603a4a99d05d25a0f21ab1cd89
- https://git.kernel.org/stable/c/f75625db838ade28f032dacd0f0c8baca42ecde4
- https://lists.debian.org/debian-lts-announce/2025/01/msg00001.html