Katalog CVE

CVE-2026-53069

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 30 — wyżej niż 30% wszystkich znanych CVE

Streszczenie

W jądrze Linux wykryto podatność polegającą na dereferencji pustego wskaźnika (null-ptr-deref) w funkcji xdp_master_redirect() podczas próby przekierowania XDP na interfejsie master (bond), który nie został uruchomiony. Problem występuje, gdy interfejs bond w trybie round-robin nie ma zainicjowanego licznika rr_tx_counter, ponieważ nie przeszedł przez procedurę bond_open().

Ocena ryzyka

Atakujący może doprowadzić do paniki jądra (kernel panic) poprzez wysłanie ruchu XDP do interfejsu bond, który nie został uruchomiony, co skutkuje przerwaniem działania systemu (DoS). Podatność dotyczy wszystkich systemów z włączoną obsługą XDP na interfejsach bond.

Rekomendacja

Należy niezwłocznie zastosować łatkę z jądra Linux zawierającą fix dla CVE-2026-53069, która dodaje sprawdzenie flagi IFF_UP przed wywołaniem funkcji ndo_xdp_get_xmit_slave(). Zaleca się aktualizację do wersji jądra zawierającej to zabezpieczenie.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: net, bpf: fix null-ptr-deref in xdp_master_redirect() for down master syzkaller reported a kernel panic in bond_rr_gen_slave_id() reached via xdp_master_redirect(). Full decoded trace: https://syzkaller.appspot.com/bug?extid=80e046b8da2820b6ba73 bond_rr_gen_slave_id() dereferences bond->rr_tx_counter, a per-CPU counter that bonding only allocates in bond_open() when the mode is round-robin. If the bond device was never brought up, rr_tx_counter stays NULL. The XDP redirect path can still reach that code on a bond that was never opened: bpf_master_redirect_enabled_key is a global static key, so as soon as any bond device has native XDP attached, the XDP_TX -> xdp_master_redirect() interception is enabled for every slave system-wide. The path xdp_master_redirect() -> bond_xdp_get_xmit_slave() -> bond_xdp_xmit_roundrobin_slave_get() -> bond_rr_gen_slave_id() then runs against a bond that has no rr_tx_counter and crashes. Fix this in the generic xdp_master_redirect() by refusing to call into the master's ->ndo_xdp_get_xmit_slave() when the master device is not up. IFF_UP is only set after ->ndo_open() has successfully returned, so this reliably excludes masters whose XDP state has not been fully initialized. Drop the frame with XDP_ABORTED so the exception is visible via trace_xdp_exception() rather than silently falling through. This is not specific to bonding: any current or future master that defers XDP state allocation to ->ndo_open() is protected.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS