CVE-2024-26724: luka w jądrze Linux dotycząca use-after-free w module mlx5 DPLL

Wysokie zagrożenie CVE-2024-26724 w jądrze Linux dotyczy błędu use-after-free w module mlx5 DPLL. Zalecane szybkie aktualizacje i monitorowanie systemu.
CVE-2024-26724CVSS 7.8Linux

CVE-2024-26724: luka w jądrze Linux dotycząca use-after-free w module mlx5 DPLL

Wysokie zagrożenie CVE-2024-26724 w jądrze Linux dotyczy błędu use-after-free w module mlx5 DPLL. Zalecane szybkie aktualizacje i monitorowanie systemu.

CVSS
7.8 HIGH
EPSS
13.93%
Aktywnie wykorzystywana
brak w KEV
Produkt
linux kernel

Co wiadomo

W jądrze Linux załatano lukę bezpieczeństwa w module net/mlx5 DPLL, polegającą na możliwym błędnym użyciu pamięci po jej zwolnieniu (use-after-free) po wyzwoleniu opóźnionego timera. Problem ten może prowadzić do niestabilności systemu lub potencjalnego wykonania nieautoryzowanego kodu.

Wpływ biznesowy

Ta luka o wysokim poziomie zagrożenia (CVSS 7.8) może wpłynąć na stabilność i bezpieczeństwo systemów korzystających z jądra Linux z modułem mlx5 DPLL, szczególnie w środowiskach produkcyjnych i wirtualizowanych. Operatorzy IT powinni zwrócić uwagę na możliwość wystąpienia awarii lub eskalacji uprawnień, co może skutkować przerwami w działaniu usług lub naruszeniem integralności systemu.

Rekomendowane działania administratora

Zaleca się jak najszybsze przejrzenie i zastosowanie dostępnych aktualizacji jądra Linux od dostawcy systemu operacyjnego. W przypadku braku natychmiastowej łatki, należy ograniczyć ekspozycję systemów na nieznane lub niezweryfikowane źródła oraz monitorować logi systemowe pod kątem anomalii związanych z modułem mlx5. Priorytetowo traktować wdrożenie poprawek i testowanie stabilności systemu po aktualizacji.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS