CVE-2026-43491
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
W jądrze Linux wykryto podatność w module net: qrtr: ns, która pozwalała na nieograniczoną rejestrację serwerów na węzeł. Złośliwy klient może wysłać lawinę komunikatów NEW_SERVER, co prowadzi do wyczerpania pamięci systemowej. Problem został rozwiązany poprzez ograniczenie maksymalnej liczby rejestracji do 256 na węzeł oraz dodanie limitowania szybkości komunikatów błędów.
Ocena ryzyka
Atakujący może zdalnie spowodować wyczerpanie pamięci systemowej, co prowadzi do odmowy usługi (DoS) dla całego systemu.
Rekomendacja
Należy niezwłocznie zaktualizować jądro Linux do wersji zawierającej poprawkę (commit z limitem 256 rejestracji na węzeł).
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: net: qrtr: ns: Limit the maximum server registration per node Current code does no bound checking on the number of servers added per node. A malicious client can flood NEW_SERVER messages and exhaust memory. Fix this issue by limiting the maximum number of server registrations to 256 per node. If the NEW_SERVER message is received for an old port, then don't restrict it as it will get replaced. While at it, also rate limit the error messages in the failure path of qrtr_ns_worker(). Note that the limit of 256 is chosen based on the current platform requirements. If requirement changes in the future, this limit can be increased.

