Katalog CVE

CVE-2025-38732

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 - wyżej niż 6% wszystkich znanych CVE

Streszczenie

W jądrze Linux wykryto wyciek referencji do struktury dst (destination cache) dla pakietów pętli zwrotnej (loopback) w module netfilter nf_reject. Problem pojawia się, gdy funkcja nf_reject_fill_skb_dst próbuje zastąpić wpis dst w pakiecie, który już go posiada (np. dla ruchu loopback), co prowadzi do ostrzeżenia WARN() i potencjalnego wycieku pamięci.

Ocena ryzyka

Wyciek referencji dst może prowadzić do stopniowego wyczerpania pamięci jądra, szczególnie przy intensywnym ruchu pętli zwrotnej (np. lokalne testy lub aplikacje używające localhost). Może to spowodować niestabilność systemu lub odmowę usługi (DoS) dla procesów korzystających z sieci.

Rekomendacja

Zaleca się natychmiastową aktualizację jądra Linux do wersji zawierającej poprawkę (commit rozwiązujący problem). Jeśli aktualizacja nie jest możliwa, należy ograniczyć ruch loopback przez reguły netfilter lub monitorować użycie pamięci jądra pod kątem anomalii.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: netfilter: nf_reject: don't leak dst refcount for loopback packets recent patches to add a WARN() when replacing skb dst entry found an old bug: WARNING: include/linux/skbuff.h:1165 skb_dst_check_unset include/linux/skbuff.h:1164 [inline] WARNING: include/linux/skbuff.h:1165 skb_dst_set include/linux/skbuff.h:1210 [inline] WARNING: include/linux/skbuff.h:1165 nf_reject_fill_skb_dst+0x2a4/0x330 net/ipv4/netfilter/nf_reject_ipv4.c:234 [..] Call Trace: nf_send_unreach+0x17b/0x6e0 net/ipv4/netfilter/nf_reject_ipv4.c:325 nft_reject_inet_eval+0x4bc/0x690 net/netfilter/nft_reject_inet.c:27 expr_call_ops_eval net/netfilter/nf_tables_core.c:237 [inline] .. This is because blamed commit forgot about loopback packets. Such packets already have a dst_entry attached, even at PRE_ROUTING stage. Instead of checking hook just check if the skb already has a route attached to it.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS