製品・ソフトウェアに関する情報
Vulnerability Search
Linuxカーネルのat24ドライバーにおけるきょうごうじょうたい脆弱性
Title Linuxカーネルのat24ドライバーにおけるきょうごうじょうたい脆弱性
Summary

Linuxカーネルのeeprom: at24において、メモリ破壊が発生する可能性のある競合状態が修正されました。eepromがアクセス不能な場合、nvmemデバイスが登録された後でリードに失敗するとデバイスが破棄されますが、他のドライバが破棄後のnvmemデバイスへアクセスすると無効なメモリを参照してしまいます。この問題を防ぐため、nvmemデバイスの登録前にエラー処理の位置が変更されました。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 17, 2024, midnight
Registration Date Dec. 25, 2025, 5 p.m.
Last Update Dec. 25, 2025, 5 p.m.
CVSS3.0 : 警告
Score 4.7
Vector CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
Affected System
Debian
Debian GNU/Linux 10.0
Linux
Linux Kernel 5.11 から 5.15.159 未満
Linux Kernel 5.16 から 6.1.91 未満
Linux Kernel 5.3 から 5.10.217 未満
Linux Kernel 6.2 から 6.6.31 未満
Linux Kernel 6.7 から 6.8.9 未満
Linux Kernel 6.9
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2025年12月25日]
  掲載		 Dec. 25, 2025, 5 p.m.
NVD Vulnerability Information
CVE-2024-35848
Summary

In the Linux kernel, the following vulnerability has been resolved:

eeprom: at24: fix memory corruption race condition

If the eeprom is not accessible, an nvmem device will be registered, the
read will fail, and the device will be torn down. If another driver
accesses the nvmem device after the teardown, it will reference
invalid memory.

Move the failure point before registering the nvmem device.

Publication Date May 18, 2024, 12:15 a.m.
Registration Date May 18, 2024, 10 a.m.
Last Update Nov. 21, 2024, 6:21 p.m.
Related information, measures and tools
Common Vulnerabilities List