Katalog CVE

CVE-2026-43037

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.56%

Percentyl 43 — wyżej niż 43% wszystkich znanych CVE

Streszczenie

W jądrze Linux wykryto podatność w funkcji ip4ip6_err() tunelu IPv6-over-IPv4. Brak wyczyszczenia bufora cb[] w sklonowanym pakiecie (skb2) powoduje błędną interpretację danych jako struktury IPv4, co może prowadzić do odczytu poza zakresem i potencjalnego przepełnienia bufora stosowego.

Ocena ryzyka

Atakujący może wysłać spreparowany pakiet, który wykorzystując tę podatność, doprowadzi do odczytu pamięci jądra lub wykonania dowolnego kodu, co może skutkować przejęciem kontroli nad systemem.

Rekomendacja

Należy niezwłocznie zaktualizować jądro Linux do wersji zawierającej poprawkę (czyszczenie skb2->cb[] i walidacja nagłówka IPv4).

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: ip6_tunnel: clear skb2->cb[] in ip4ip6_err() Oskar Kjos reported the following problem. ip4ip6_err() calls icmp_send() on a cloned skb whose cb[] was written by the IPv6 receive path as struct inet6_skb_parm. icmp_send() passes IPCB(skb2) to __ip_options_echo(), which interprets that cb[] region as struct inet_skb_parm (IPv4). The layouts differ: inet6_skb_parm.nhoff at offset 14 overlaps inet_skb_parm.opt.rr, producing a non-zero rr value. __ip_options_echo() then reads optlen from attacker-controlled packet data at sptr[rr+1] and copies that many bytes into dopt->__data, a fixed 40-byte stack buffer (IP_OPTIONS_DATA_FIXED_SIZE). To fix this we clear skb2->cb[], as suggested by Oskar Kjos. Also add minimal IPv4 header validation (version == 4, ihl >= 5).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS