Katalog CVE

CVE-2026-10655

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

W Zephyr OS wykryto podatność polegającą na wyścigu (race condition) w asynchronicznym kliencie SNTP. Gdy klient zamyka gniazdo UDP bez synchronizacji z wątkiem obsługi gniazd, może dojść do użycia po zwolnieniu (use-after-free) struktury net_context, co prowadzi do awarii lub potencjalnego uszkodzenia pamięci.

Ocena ryzyka

Atakujący sieciowo, który opóźnia lub blokuje odpowiedzi SNTP/NTP, może wielokrotnie wywołać tę podatność, powodując awarię wątku sieciowego (odmowa usługi) oraz ryzyko uszkodzenia pamięci przy ponownym przydzieleniu zwolnionego kontekstu.

Rekomendacja

Należy niezwłocznie zaktualizować Zephyr OS do wersji zawierającej poprawkę (powyżej v4.4.0), która przenosi zamknięcie gniazda do wątku obsługi gniazd, eliminując wyścig.

Oryginalny opis (angielski, źródło NVD)

The asynchronous SNTP client in Zephyr (subsys/net/lib/sntp/sntp.c, sntp_close_async) closed the UDP socket file descriptor directly from the calling thread immediately after detaching it from the network socket service, without synchronizing with the socket-service poll thread. The socket service thread polls each socket via zvfs_poll, which (in zsock_poll_prepare_ctx) registers a k_poll_event pointing into the socket's net_context (&ctx->recv_q) and then blocks in k_poll without holding a reference or lock. net_context objects are allocated from a fixed pool (contexts[CONFIG_NET_MAX_CONTEXTS]) and reused after close. When sntp_close_async is invoked from a different thread than the poll thread (in the in-tree consumer subsys/net/lib/config/init_clock_sntp.c, the SNTP timeout handler runs on the system workqueue while the socket service thread is blocked in poll on the same fd), the close frees and may reuse the net_context while the poll thread still has a poller node linked into the freed object, resulting in a use-after-free / object confusion of kernel poll structures. The SNTP timeout path is the normal no-response failure mode, so a network peer or off-path attacker who drops or delays the SNTP/NTP response can drive the racing close repeatedly (and periodically with NET_CONFIG_SNTP_INIT_RESYNC). The most likely consequence is a crash of the networking thread (denial of service), with potential memory corruption when the freed context slot is reallocated. The fix defers the close to the socket service thread itself via net_socket_service_close (NET_SOCKET_SERVICE_CLOSE_SOCKETS), so the same thread that polls performs the close, eliminating the race. Affected releases: v4.2.0 through v4.4.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS