一、 漏洞 CVE-2023-3609 基础信息
漏洞信息
                                        # Linux内核的net/sched: cls_u32组件中的Use-after-free漏洞

## 漏洞概述
Linux 内核中的 net/sched: cls_u32 组件存在一个 use-after-free 漏洞,可以被利用来实现本地权限提升。

## 影响版本
Linux 内核中包含 commit 04c55383fa5689357bcdd2c8036725a55ed632bc 之前的版本。

## 详细信息
如果 tcf_change_indev() 失败,u32_set_parms() 将在调用 tcf_bind_filter() 之前立即返回错误。攻击者如果可以控制参考计数器并将其设置为零,就可以导致参考对象被释放,从而引起 use-after-free 漏洞。

## 影响
此漏洞可以被本地攻击者利用,以实现权限提升。建议更新至包含 commit 04c55383fa5689357bcdd2c8036725a55ed632bc 的版本。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Use-after-free in Linux kernel's net/sched: cls_u32 component
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A use-after-free vulnerability in the Linux kernel's net/sched: cls_u32 component can be exploited to achieve local privilege escalation. If tcf_change_indev() fails, u32_set_parms() will immediately return an error after incrementing or decrementing the reference counter in tcf_bind_filter(). If an attacker can control the reference counter and set it to zero, they can cause the reference to be freed, leading to a use-after-free vulnerability. We recommend upgrading past commit 04c55383fa5689357bcdd2c8036725a55ed632bc.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
释放后使用
来源:美国国家漏洞数据库 NVD
漏洞标题
Linux kernel 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。 Linux kernel存在安全漏洞。攻击者利用该漏洞可以升级本地权限。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-3609 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/Jturnxd/CVE-2023-3609 POC详情
三、漏洞 CVE-2023-3609 的情报信息
四、漏洞 CVE-2023-3609 的评论

暂无评论

发表评论