Vulnerabilidad en kernel de Linux (CVE-2024-49985)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/10/2024
Última modificación:
03/11/2025
Descripción
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: i2c: stm32f7: No preparar/despreparar el reloj durante la suspensión/reanudación en tiempo de ejecución En caso de que haya algún tipo de controlador de reloj conectado a este controlador de bus I2C, por ejemplo Versaclock o incluso un códec I2C AIC32x4, entonces una transferencia I2C activada desde la devolución de llamada clk_ops .prepare del controlador de reloj puede activar un bloqueo en el mutex prepare_lock de drivers/clk/clk.c. Esto se debe a que el controlador de reloj primero toma el mutex prepare_lock y luego realiza la operación de preparación, incluido su acceso I2C. El acceso I2C reanuda este controlador de bus I2C a través de la devolución de llamada .runtime_resume, que llama a clk_prepare_enable(), que intenta tomar el mutex prepare_lock nuevamente y se bloquea. Dado que el reloj ya está preparado desde probe() y no preparado en remove(), use llamadas clk_enable()/clk_disable() simples para habilitar y deshabilitar el reloj en la suspensión y reanudación del tiempo de ejecución, para evitar alcanzar el mutex prepare_lock.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.0 (incluyendo) | 5.10.227 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.11 (incluyendo) | 5.15.168 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.16 (incluyendo) | 6.1.113 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.2 (incluyendo) | 6.6.55 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.7 (incluyendo) | 6.10.14 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.11 (incluyendo) | 6.11.3 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:6.12:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://git.kernel.org/stable/c/048bbbdbf85e5e00258dfb12f5e368f908801d7b
- https://git.kernel.org/stable/c/1883cad2cc629ded4a3556c0bbb8b42533ad8764
- https://git.kernel.org/stable/c/22a1f8a5b56ba93d3e8b7a1dafa24e01c8bb48ba
- https://git.kernel.org/stable/c/894cd5f5fd9061983445bbd1fa3d81be43095344
- https://git.kernel.org/stable/c/9b8bc33ad64192f54142396470cc34ce539a8940
- https://git.kernel.org/stable/c/c2024b1a583ab9176c797ea1e5f57baf8d5e2682
- https://git.kernel.org/stable/c/d6f1250a4d5773f447740b9fe37b8692105796d4
- https://git.kernel.org/stable/c/fac3c9f7784e8184c0338e9f0877b81e55d3ef1c
- https://lists.debian.org/debian-lts-announce/2025/01/msg00001.html
- https://lists.debian.org/debian-lts-announce/2025/03/msg00002.html