CVE-2026-52905
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
W jądrze Linuxa wykryto podatność w mechanizmie DAMON (Data Access Monitoring). Funkcja damon_start() nie sprawdzała, czy parametr min_region_sz jest potęgą dwójki, co pozwalało na ustawienie nieprawidłowych zakresów adresów regionów. Problem został już załatany w nowszej wersji jądra.
Ocena ryzyka
Organizacja może być narażona na nieprzewidywalne działanie monitorowania dostępu do pamięci, co w skrajnych przypadkach może prowadzić do błędów systemowych lub obniżenia wydajności. Atakujący z lokalnym dostępem mógłby wykorzystać tę lukę do destabilizacji systemu.
Rekomendacja
Należy niezwłocznie zaktualizować jądro Linuxa do wersji zawierającej poprawkę (commit naprawiający damon_start()). Przed aktualizacją zaleca się ograniczenie dostępu do interfejsu sysfs DAMON tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: mm/damon/core: disallow non-power of two min_region_sz on damon_start() Commit d8f867fa0825 ("mm/damon: add damon_ctx->min_sz_region") introduced a bug that allows unaligned DAMON region address ranges. Commit c80f46ac228b ("mm/damon/core: disallow non-power of two min_region_sz") fixed it, but only for damon_commit_ctx() use case. Still, DAMON sysfs interface can emit non-power of two min_region_sz via damon_start(). Fix the path by adding the is_power_of_2() check on damon_start(). The issue was discovered by sashiko [1].

