CVE-2026-46114
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 - wyżej niż 37% wszystkich znanych CVE
Streszczenie
W sterowniku RDMA/rxe jądra Linux stwierdzono podatność polegającą na braku walidacji długości ładunku ATOMIC_WRITE. Zdalny atakujący może wysłać żądanie z zerową długością, co powoduje odczyt 8 bajtów spoza końca pakietu i zapisanie ich do pamięci ofiary, prowadząc do wycieku danych z jądra.
Ocena ryzyka
Atakujący może zdalnie ujawnić 4 bajty ogona bufora skb (w tym wrażliwe dane jądra, takie jak fragmenty łańcuchów znaków lub wskaźniki) na każdą próbę, co może pomóc w dalszej eskalacji uprawnień.
Rekomendacja
Należy niezwłocznie zaktualizować jądro Linux do wersji zawierającej poprawkę (commit z dodaniem ścisłej kontroli długości w check_rkey()). Jeśli aktualizacja nie jest możliwa, należy tymczasowo wyłączyć moduł rxe lub ograniczyć zaufane źródła ruchu RDMA.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: RDMA/rxe: Reject non-8-byte ATOMIC_WRITE payloads atomic_write_reply() at drivers/infiniband/sw/rxe/rxe_resp.c unconditionally dereferences 8 bytes at payload_addr(pkt): value = *(u64 *)payload_addr(pkt); check_rkey() previously accepted an ATOMIC_WRITE request with pktlen == resid == 0 because the length validation only compared pktlen against resid. A remote initiator that sets the RETH length to 0 therefore reaches atomic_write_reply() with a zero-byte logical payload, and the responder reads sizeof(u64) bytes from past the logical end of the packet into skb->head tailroom, then writes those 8 bytes into the attacker's MR via rxe_mr_do_atomic_write(). That is a remote disclosure of 4 bytes of kernel tailroom per probe (the other 4 bytes are the packet's own trailing ICRC). IBA oA19-28 defines ATOMIC_WRITE as exactly 8 bytes. Anything else is protocol-invalid. Hoist a strict length check into check_rkey() so the responder never reaches the unchecked dereference, and keep the existing WRITE-family length logic for the normal RDMA WRITE path. Reproduced on mainline with an unmodified rxe driver: a sustained zero-length ATOMIC_WRITE probe repeatedly leaks adjacent skb head-buffer bytes into the attacker's MR, including recognisable kernel strings and partial kernel-direct-map pointer words. With this patch applied the responder rejects the PDU and the MR stays all-zero.

