Katalog CVE

CVE-2026-53341

Niskie ryzyko· EPSS 5%
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

W jądrze Linux wykryto podatność use-after-free (UAF) w funkcji may_decode_fh() w mechanizmie fhandle. Problem wynika z odczytu pola mount::mnt_ns bez odpowiedniego blokowania, co umożliwia wyścig podczas odmontowywania i zwalniania przestrzeni nazw montowania. Atakujący może wykorzystać tę lukę do wycieku danych, zapętlenia lub awarii systemu.

Ocena ryzyka

Ryzyko dla organizacji jest ograniczone, ponieważ podatność wymaga specyficznych konfiguracji (CONFIG_PREEMPTION lub CONFIG_RCU_STRICT_GRACE_PERIOD) i nie prowadzi do zdalnego wykonania kodu. Może jednak spowodować wyciek informacji, zawieszenie systemu lub awarię jądra, co wpływa na dostępność i poufność.

Rekomendacja

Zaleca się natychmiastową aktualizację jądra Linux do wersji zawierającej poprawkę (commit w gałęzi mainline). Należy monitorować oficjalne biuletyny bezpieczeństwa dystrybucji i zastosować łatkę po jej udostępnieniu.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: fhandle: fix UAF due to unlocked ->mnt_ns read in may_decode_fh() may_decode_fh() accesses mount::mnt_ns without holding any locks; that means the mount can concurrently be unmounted, and the mnt_namespace can concurrently be freed after an RCU grace period. This race can happens as follows, assuming that the mount point was created by open_tree(..., OPEN_TREE_CLONE): thread 1 thread 2 RCU __do_sys_open_by_handle_at do_handle_open handle_to_path may_decode_fh is_mounted [mount::mnt_ns access] [mount::mnt_ns access] __do_sys_close fput_close_sync __fput dissolve_on_fput umount_tree class_namespace_excl_destructor namespace_unlock free_mnt_ns mnt_ns_tree_remove call_rcu(mnt_ns_release_rcu) mnt_ns_release_rcu mnt_ns_release kfree [mnt_namespace::user_ns access] **UAF** Fix it by taking rcu_read_lock() around the mount::mnt_ns access, like in __prepend_path(). Additionally, document the semantics of mount::mnt_ns, and use WRITE_ONCE() for writers that can race with lockless readers. This bug is unreachable unless one of the following is set: - CONFIG_PREEMPTION - CONFIG_RCU_STRICT_GRACE_PERIOD because it requires an RCU grace period to happen during a syscall without an explicit preemption. This doesn't seem to have interesting security impact; worst-case, it could leak the result of an integer comparison to userspace (from the level check in cap_capable()), cause an endless loop, or crash the kernel by dereferencing an invalid address.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS