Katalog CVE

CVE-2026-10634

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Stos TCP Zephyra zawiera podatność use-after-free w funkcji net_tcp_foreach(). Podczas iteracji globalnej listy połączeń, zwolnienie blokady tcp_lock na czas wywołania zwrotnego pozwala współbieżnemu wątkowi na usunięcie i zwolnienie pamięci następnego elementu listy, co prowadzi do dereferencji zwolnionej pamięci. Problem występuje w stosie TCP2 od 2020 roku do wersji v4.4.0 włącznie.

Ocena ryzyka

Atakujący może zdalnie spowodować awarię systemu (odmowa usługi) poprzez wysłanie ruchu TCP zamykającego połączenie, co wyzwala wyścig. W przypadku ponownego wykorzystania zwolnionej pamięci, możliwy jest wyciek informacji lub dalsze błędy.

Rekomendacja

Należy natychmiast zaktualizować Zephyr do wersji zawierającej poprawkę (v4.4.1 lub nowszej). Jeśli aktualizacja nie jest możliwa, ogranicz dostęp do polecenia sieciowego 'net conn' oraz unikaj wyłączania interfejsów sieciowych w środowisku produkcyjnym.

Oryginalny opis (angielski, źródło NVD)

Zephyr's native TCP stack iterates the global connection list in net_tcp_foreach() (subsys/net/ip/tcp.c) using the SYS_SLIST_FOR_EACH_CONTAINER_SAFE macro, which caches a pointer to the next list node. Prior to this fix the function released tcp_lock while invoking the per-connection callback and re-acquired it afterwards. During that window a concurrent tcp_conn_release(), running on the dedicated TCP work-queue thread when a connection's reference count drops to zero (e.g. a remote peer closing or resetting the connection), can remove and k_mem_slab_free() the cached next connection. When the iterator advances it dereferences the freed (and possibly reallocated) slab memory — a use-after-free that can crash the system (denial of service) and, if the slot has been reused, cause the callback to operate on an attacker-influenced object (potential information disclosure or further fault). net_tcp_foreach() is reached in production via the 'net conn' network shell command and via net_tcp_close_all_for_iface() on interface-down; the freeing side is driven by ordinary TCP traffic. The fix moves the connection/context teardown in tcp_conn_release() inside the tcp_lock critical section and keeps tcp_lock held across the callback in net_tcp_foreach(). The defect was introduced with the modern (TCP2) stack in 2020 and affects releases up to and including v4.4.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS