Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función ip4_datagram_release_cb en net/ipv4/datagram.c (CVE-2014-9914)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-362 Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
07/02/2017
Última modificación:
20/04/2025

Descripción

Condición de carrera en la función ip4_datagram_release_cb en net/ipv4/datagram.c en el kernel de Linux en versiones anteriores a 3.15.2 permite a usuarios locales obtener privilegios o provocar una denegación de servicio (uso después de liberación de memoria) aprovechando expectativas incorrectas sobre el bloqueo durante el acceso multihilo a las estructuras de datos internas para sockets IPv4 UDP.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.7.8 (incluyendo) 3.10.45 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.11 (incluyendo) 3.12.23 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.13 (incluyendo) 3.14.9 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 3.15 (incluyendo) 3.15.2 (excluyendo)
cpe:2.3:o:google:android:*:*:*:*:*:*:*:* 7.1.1 (incluyendo)