CVE-2024-41013 in Linuxinfo

Zusammenfassung

von VulDB • 11.07.2026

Im Linux-Kernel wurde folgende Schwachstelle behoben:

xfs: Nicht über das Ende eines Verzeichnisdatenblocks hinauslaufen

Dies fügt Plausibilitätsprüfungen für `xfs_dir2_data_unused` und `xfs_dir2_data_entry` hinzu, um sicherzustellen, dass nicht außerhalb des gültigen Speicherbereichs zugegriffen wird. Vor der Anwendung des Patches prüfte die Schleife lediglich, ob sich der Startoffset von dup und dep innerhalb des Bereichs befindet. In einem speziell angefertigten Image kann man bei dem letzten Eintrag vom Typ `xfs_dir2_data_unused` `dup->length` auf `dup->length-1` setzen und ein Byte Platz freilassen. Bei der nächsten Durchlaufung wird dieser Raum als dup oder dep betrachtet. Beim Zugriff auf die festgelegten Member kann es zu einem Out-of-Bounds-Lesezugriff kommen.

Im Patch stellen wir sicher, dass die verbleibenden Bytes groß genug sind, um einen nicht verwendeten Eintrag (`unused entry`) aufzunehmen, bevor auf `xfs_dir2_data_unused` zugegriffen wird und dass `xfs_dir2_data_unused` an einer XFS_DIR2_DATA_ALIGN-Grenze ausgerichtet ist. Wir stellen außerdem sicher, dass die verbleibenden Bytes groß genug sind, um einen Direintrag (`dirent`) mit einem ein Byte langen Namen aufzunehmen, bevor auf `xfs_dir2_data_entry` zugegriffen wird.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

Linux

Reservieren

12.07.2024

Veröffentlichung

29.07.2024

Moderieren

akzeptiert

Eintrag

VDB-272638

CPE

bereit

EPSS

0.00224

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!