CVE-2026-52952
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
W jądrze Linux wykryto podatność w podsystemie IOMMU, gdzie funkcja __iommu_group_set_domain_nofail() wywołuje ostrzeżenie WARN_ON z powodu resetu. Problem wynika z nieprawidłowego blokowania równoczesnych przyłączeń domen podczas odzyskiwania grupy urządzeń, co może prowadzić do użycia po zwolnieniu (UAF) w ścieżkach detach/teardown.
Ocena ryzyka
Ryzyko obejmuje potencjalne użycie po zwolnieniu pamięci (UAF) podczas resetowania urządzeń PCI, co może skutkować awarią systemu lub eskalacją uprawnień przez lokalnego atakującego.
Rekomendacja
Zaleca się natychmiastową aktualizację jądra Linux do wersji zawierającej poprawkę usuwającą błąd w __iommu_group_set_domain_nofail() oraz dodanie sprawdzenia gdev->blocked w pętli iteracji urządzeń.
Oryginalny opis (angielski, źródło NVD)
In the Linux kernel, the following vulnerability has been resolved: iommu: Fix WARN_ON in __iommu_group_set_domain_nofail() due to reset In __iommu_group_set_domain_internal(), concurrent domain attachments are rejected when any device in the group is recovering. This is necessary to fence concurrent attachments to a multi-device group where devices might share the same RID due to PCI DMA alias quirks, but triggers the WARN_ON in __iommu_group_set_domain_nofail(). Other IOMMU_SET_DOMAIN_MUST_SUCCEED callers in detach/teardown paths, such as __iommu_group_set_core_domain and __iommu_release_dma_ownership, should not be rejected, as the domain would be freed anyway in these nofail paths while group->domain is still pointing to it. So pci_dev_reset_iommu_done() could trigger a UAF when re-attaching group->domain. Honor the IOMMU_SET_DOMAIN_MUST_SUCCEED flag, allowing the callers through the group->recovery_cnt fence, so as to update the group->domain pointer. Instead add a gdev->blocked check in the device iteration loop, to prevent any concurrent per-device detachment.

