CVE-2026-31617
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
W jądrze Linux w sterowniku USB f_ncm (funkcja sieciowa CDC NCM) wykryto podatność polegającą na braku walidacji minimalnej długości bloku (block_len) w funkcji ncm_unwrap_ntb(). Gdy block_len jest mniejszy niż rozmiar NDP, operacje arytmetyczne na indeksach powodują niedomiar (underflow), co umożliwia złośliwemu hostowi USB ominięcie kontroli granic i skopiowanie danych z pamięci jądra do sieciowego bufora skb.
Ocena ryzyka
Atakujący z dostępem fizycznym do portu USB (lub zdalnie przez emulację urządzenia USB) może wykorzystać tę podatność do odczytu wrażliwych danych z pamięci jądra lub potencjalnie do eskalacji uprawnień, co stanowi poważne ryzyko dla poufności i integralności systemu.
Rekomendacja
Należy niezwłocznie zaktualizować jądro Linux do wersji zawierającej poprawkę (commit usuwający podatność). Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz obsługę funkcji CDC NCM w konfiguracji USB gadget lub ogranicz fizyczny dostęp do portów USB.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: usb: gadget: f_ncm: validate minimum block_len in ncm_unwrap_ntb() The block_len read from the host-supplied NTB header is checked against ntb_max but has no lower bound. When block_len is smaller than opts->ndp_size, the bounds check of: ndp_index > (block_len - opts->ndp_size) will underflow producing a huge unsigned value that ndp_index can never exceed, defeating the check entirely. The same underflow occurs in the datagram index checks against block_len - opts->dpe_size. With those checks neutered, a malicious USB host can choose ndp_index and datagram offsets that point past the actual transfer, and the skb_put_data() copies adjacent kernel memory into the network skb. Fix this by rejecting block lengths that cannot hold at least the NTB header plus one NDP. This will make block_len - opts->ndp_size and block_len - opts->dpe_size both well-defined. Commit 8d2b1a1ec9f5 ("CDC-NCM: avoid overflow in sanity checking") fixed a related class of issues on the host side of NCM.

