CVE-2024-36971
net: fix __dst_negative_advice() race
En resumen
Una condición de carrera en el código de red del kernel Linux permite que un programa acceda a memoria que ya ha sido liberada (use-after-free). Esto ocurre cuando la caché de red se limpia en el orden incorrecto, potencialmente bloqueando el sistema o siendo explotado por atacantes.
Detalle técnico
CVE-2024-36971 es una vulnerabilidad use-after-free (CWE-416) en __dst_negative_advice() causada por sincronización RCU inadecuada que permite acceso a sk->dst_cache después de su liberación. Requiere acceso local y es desencadenada por sockets UDP que activan la secuencia de borrado de caché defectuosa, donde dst_release() se invoca antes de limpiar sk_dst_cache, violando la semántica de ordenamiento RCU.
Resumen generado y traducido por IA a partir de la descripción oficial.
In the Linux kernel, the following vulnerability has been resolved:
net: fix __dst_negative_advice() race
__dst_negative_advice() does not enforce proper RCU rules when
sk->dst_cache must be cleared, leading to possible UAF.
RCU rules are that we must first clear sk->sk_dst_cache,
then call dst_release(old_dst).
Note that sk_dst_reset(sk) is implementing this protocol correctly,
while __dst_negative_advice() uses the wrong order.
Given that ip6_negative_advice() has special logic
against RTF_CACHE, this means each of the three ->negative_advice()
existing methods must perform the sk_dst_reset() themselves.
Note the check against NULL dst is centralized in
__dst_negative_advice(), there is no need to duplicate
it in various callbacks.
Many thanks to Clement Lecigne for tracking this issue.
This old bug became visible after the blamed commit, using UDP sockets.
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.