Katalog CVE

CVE-2026-53357

Nieznane
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W jądrze Linuxa wykryto podatność use-after-free (UAF) w stosie Bluetooth. Problem występuje w funkcjach l2cap_sock_cleanup_listen() i l2cap_conn_del(), gdzie podczas zamykania gniazda nasłuchującego i równoczesnego rozłączania HCI dochodzi do wyścigu, w wyniku którego zwalniane jest gniazdo potomne, a następnie używane przez funkcję czyszczącą. Podatność może prowadzić do awarii systemu lub potencjalnie do eskalacji uprawnień.

Ocena ryzyka

Organizacja narażona jest na ryzyko awarii systemu (kernel panic) lub potencjalne wykonanie dowolnego kodu w kontekście jądra, co może umożliwić atakującemu z dostępem lokalnym przejęcie kontroli nad systemem.

Rekomendacja

Należy niezwłocznie zaktualizować jądro Linuxa do wersji zawierającej poprawkę (commit z rozwiązaniem problemu). Monitorować dostępność łatki w dystrybucji systemu i zastosować ją po przetestowaniu.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: Bluetooth: fix UAF in l2cap_sock_cleanup_listen() vs l2cap_conn_del() bt_accept_dequeue() unlinks a not-yet-accepted child from the parent accept queue and release_sock()s it before returning, so the returned sk has no caller reference and is unlocked. l2cap_sock_cleanup_listen() walks these children on listening-socket close. A concurrent HCI disconnect drives hci_rx_work -> l2cap_conn_del() which runs l2cap_chan_del() + l2cap_sock_kill() and frees the child sk and its l2cap_chan; cleanup_listen() then uses both: BUG: KASAN: slab-use-after-free in l2cap_sock_kill l2cap_sock_kill / l2cap_sock_cleanup_listen / __x64_sys_close Freed by: l2cap_conn_del -> l2cap_sock_close_cb -> l2cap_sock_kill This is distinct from the two fixes already in this area: commit e83f5e24da741 ("Bluetooth: serialize accept_q access") serialises the accept_q list/poll and takes temporary refs inside bt_accept_dequeue(), and CVE-2025-39860 serialises the userspace close()/accept() race by calling cleanup_listen() under lock_sock() in l2cap_sock_release(). Neither covers l2cap_conn_del() running from hci_rx_work, so this UAF still reproduces on current bluetooth/master. Take the reference at the source: bt_accept_dequeue() does sock_hold() while sk is still locked, before release_sock(); callers sock_put(). cleanup_listen() pins the chan with l2cap_chan_hold_unless_zero() under a brief child sk lock (serialising vs l2cap_sock_teardown_cb()), drops it before l2cap_chan_lock(), and skips a duplicate l2cap_sock_kill() on SOCK_DEAD. conn->lock is not taken here: cleanup_listen() runs under the parent sk lock and that would invert conn->lock -> chan->lock -> sk_lock (lockdep). KASAN/SMP: an unprivileged listen/close vs HCI-disconnect race produced 12 use-after-free reports per run before this change; 0, and no lockdep report, over 1600+ raced iterations after it on bluetooth/master.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS