CVE-2026-45897
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
W jądrze Linuxa wykryto podatność w module netfilter nft_counter, która umożliwiała równoczesne operacje resetowania liczników bez odpowiedniej synchronizacji. Brak blokady powodował, że dwa równoległe zrzuty i resety mogły odczytać te same wartości liczników, a następnie odjąć je dwukrotnie, co prowadziło do niedomiaru wartości.
Ocena ryzyka
Atakujący mógłby wykorzystać tę lukę do manipulacji danymi liczników ruchu sieciowego, co może skutkować błędnym raportowaniem lub omijaniem limitów przepustowości.
Rekomendacja
Należy niezwłocznie zaktualizować jądro Linuksa do wersji zawierającej poprawkę, która dodaje globalną blokadę spinlock dla operacji pobierania i resetowania liczników.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: netfilter: nft_counter: serialize reset with spinlock Add a global static spinlock to serialize counter fetch+reset operations, preventing concurrent dump-and-reset from underrunning values. The lock is taken before fetching the total so that two parallel resets cannot both read the same counter values and then both subtract them. A global lock is used for simplicity since resets are infrequent. If this becomes a bottleneck, it can be replaced with a per-net lock later.

