Katalog CVE

CVE-2026-31402

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.49%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

W jądrze Linux wykryto podatność w NFSv4.0, gdzie bufor replikacji LOCK (112 bajtów) jest przepełniany przez odpowiedź odmowy zawierającą długiego właściciela blokady (do 1024 bajtów). Atakujący może zdalnie wywołać przepełnienie sterty (slab-out-of-bounds) o 944 bajty, uszkadzając sąsiednią pamięć.

Ocena ryzyka

Nieautoryzowany atakujący z dwoma klientami NFSv4.0 może zdalnie uszkodzić pamięć jądra, co prowadzi do potencjalnej eskalacji uprawnień lub awarii systemu.

Rekomendacja

Zastosuj łatkę jądra Linux, która sprawdza długość odpowiedzi przed kopiowaniem do bufora replikacji i pomija buforowanie, jeśli jest za duża. Zaktualizuj system do wersji jądra zawierającej poprawkę.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: nfsd: fix heap overflow in NFSv4.0 LOCK replay cache The NFSv4.0 replay cache uses a fixed 112-byte inline buffer (rp_ibuf[NFSD4_REPLAY_ISIZE]) to store encoded operation responses. This size was calculated based on OPEN responses and does not account for LOCK denied responses, which include the conflicting lock owner as a variable-length field up to 1024 bytes (NFS4_OPAQUE_LIMIT). When a LOCK operation is denied due to a conflict with an existing lock that has a large owner, nfsd4_encode_operation() copies the full encoded response into the undersized replay buffer via read_bytes_from_xdr_buf() with no bounds check. This results in a slab-out-of-bounds write of up to 944 bytes past the end of the buffer, corrupting adjacent heap memory. This can be triggered remotely by an unauthenticated attacker with two cooperating NFSv4.0 clients: one sets a lock with a large owner string, then the other requests a conflicting lock to provoke the denial. We could fix this by increasing NFSD4_REPLAY_ISIZE to allow for a full opaque, but that would increase the size of every stateowner, when most lockowners are not that large. Instead, fix this by checking the encoded response length against NFSD4_REPLAY_ISIZE before copying into the replay buffer. If the response is too large, set rp_buflen to 0 to skip caching the replay payload. The status is still cached, and the client already received the correct response on the original request.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS