Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en kernel de Linux (CVE-2024-50045)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-476 Desreferencia a puntero nulo (NULL)
Fecha de publicación:
21/10/2024
Última modificación:
08/11/2024

Descripción

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: br_netfilter: fix panic with metadata_dst skb Corrige un pánico del kernel en el módulo br_netfilter al enviar tráfico sin etiquetar a través de un dispositivo VxLAN. Esto sucede durante la comprobación de fragmentación en br_nf_dev_queue_xmit. Depende de: 1) que se esté cargando el módulo br_netfilter; 2) que net.bridge.bridge-nf-call-iptables esté establecido en 1; 3) que haya un puente con un netdevice VxLAN (single-vxlan-device) como puerto de puente; 4) que se hayan reenviado o inundado tramas sin etiquetar con un tamaño superior a la MTU de VxLAN. Al reenviar el paquete sin etiquetar al puerto de puente VxLAN, antes de que se llamen los ganchos de netfilter, se llama a br_handle_egress_vlan_tunnel y cambia skb_dst al dst del túnel. tunnel_dst es un tipo de metadatos de dst, es decir, skb_valid_dst(skb) es falso y metadata->dst.dev es NULL. Luego, en los ganchos br_netfilter, en br_nf_dev_queue_xmit, hay una verificación de tramas que necesitan fragmentarse: las tramas con una MTU más alta que el dispositivo VxLAN terminan llamando a br_nf_ip_fragment, que a su vez llama a ip_skb_dst_mtu. ip_dst_mtu intenta usar skb_dst(skb) como si fuera un dst válido con dst->dev válido, de ahí el bloqueo. Este caso nunca fue compatible en primer lugar, por lo que descarta el paquete en su lugar. PING 10.0.0.2 (10.0.0.2) desde 0.0.0.0 h1-eth0: 2000(2028) bytes de datos. [ 176.291791] No se puede manejar la desreferencia del puntero NULL del núcleo en la dirección virtual 0000000000000110 [ 176.292101] Información de aborto de memoria: [ 176.292184] ESR = 0x0000000096000004 [ 176.292322] EC = 0x25: DABT (EL actual), IL = 32 bits [ 176.292530] SET = 0, FnV = 0 [ 176.292709] EA = 0, S1PTW = 0 [ 176.292862] FSC = 0x04: error de traducción de nivel 0 [ 176.293013] Información de aborto de datos: [ 176.293104] ISV = 0, ISS = 0x00000004, ISS2 = 0x00000000 [ 176.293488] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 176.293787] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 176.293995] pgtable del usuario: páginas de 4k, VA de 48 bits, pgdp=0000000043ef5000 [ 176.294166] [0000000000000110] pgd=000000000000000, p4d=0000000000000000 [ 176.294827] Error interno: Oops: 0000000096000004 [#1] PREEMPT SMP [ 176.295252] Módulos vinculados: vxlan ip6_udp_tunnel udp_tunnel veth br_netfilter bridge stp llc ipv6 crct10dif_ce [ 176.295923] CPU: 0 PID: 188 Comm: ping No contaminado 6.8.0-rc3-g5b3fbd61b9d1 #2 [ 176.296314] Nombre del hardware: linux,dummy-virt (DT) [ 176.296535] pstate: 80000005 (Nzcv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 176.296808] pc : br_nf_dev_queue_xmit+0x390/0x4ec [br_netfilter] [ 176.297382] lr : br_nf_dev_queue_xmit+0x2ac/0x4ec [br_netfilter] [ 176.297636] sp : ffff800080003630 [ 176.297743] x29: ffff800080003630 x28: 0000000000000008 x27: ffff6828c49ad9f8 [ 176.298093] x26: ffff6828c49ad000 x25: 0000000000000000 x24: 00000000000003e8 [ 176.298430] x23: 0000000000000000 x22: ffff6828c4960b40 x21: ffff6828c3b16d28 [ 176.298652] x20: ffff6828c3167048 x19: ffff6828c3b16d00 x18: 0000000000000014 [ 176.298926] x17: ffffb0476322f000 x16: ffffb7e164023730 x15: 0000000095744632 [ 176.299296] x14: ffff6828c3f1c880 x13: 0000000000000002 x12: ffffb7e137926a70 [ 176.299574] x11: 000000000000001 x10: ffff6828c3f1c898 x9: 0000000000000000 [ 176.300049] x8: ffff6828c49bf070 x7: 0008460f18d5f20e x6: f20e0100bebafeca [ 176.300302] x5 : ffff6828c7f918fe x4 : ffff6828c49bf070 x3 : 0000000000000000 [ 176.300586] x2 : 0000000000000000 x1 : ffff6828c3c7ad00 x0 : ffff6828c7f918f0 [ 176.300889] Rastreo de llamadas: [ 176.301123] br_nf_dev_queue_xmit+0x390/0x4ec [br_netfilter] [ 176.301411] br_nf_post_routing+0x2a8/0x3e4 [br_netfilter] [ 176.301703] br_nf_hook_slow+0x48/0x124 [ 176.302060] br_forward_finish+0xc8/0xe8 [puente] [ 176.302371] br_nf_hook_thresh+0x124/0x134 [br_filtro de red] [ 176.302605] br_nf_forward_finish+0x118/0x22c [br_filtro de red] [ 176.302824] br_nf_forward_ip.part.0+0x264/0x290 [br_filtro de red] [ 176.303136 ---truncado---

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 4.11 (incluyendo) 5.10.227 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.11 (incluyendo) 5.15.168 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.16 (incluyendo) 6.1.113 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.2 (incluyendo) 6.6.57 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.7 (incluyendo) 6.11.4 (excluyendo)
cpe:2.3:o:linux:linux_kernel:6.12:rc1:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.12:rc2:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información