CVE-2024-42104 in Linuxinformazioni

Riassunto

di VulDB • 09/07/2026

Nel kernel Linux, è stata risolta la seguente vulnerabilità:

nilfs2: aggiunta della verifica mancante per i numeri di inode negli elementi delle directory

Syzbot ha segnalato che il montaggio e lo smontaggio di immagini del filesystem nilfs2 corrotte con uno schema specifico causano un use-after-free degli inode dei file metadata, innescando un bug nel kernel in lru_add_fn().

Come sottolineato da Jan Kara, ciò avviene perché il conteggio dei link (link count) di un file metadata viene corrotto a 0 e nilfs_evict_inode(), chiamato da iput(), tenta di eliminare tale inode (in questo caso, l'inode del file ifile).

L’inconsistenza si verifica perché le directory contenenti i numeri di inode di questi file metadata, che non dovrebbero essere visibili nello spazio dei nomi, vengono lette senza effettuare controlli.

Si risolve il problema trattando i numeri di inode di questi file interni come errori nella funzione helper per la validità (sanity check) durante la lettura delle folios/pagine delle directory.

Grazie anche a Hillf Danton e Matthew Wilcox per l’analisi iniziale dello strato mm.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Linux

Prenotare

29/07/2024

Divulgazione

30/07/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00260

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!