Katalog CVE

CVE-2026-52955

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

W jądrze Linux w funkcji crush_decode() biblioteki libceph wykryto podatność umożliwiającą dostęp poza dozwolony zakres pamięci. Problem występuje, gdy w mapie CRUSH dwa pola określające algorytm bucketa różnią się między sobą, co prowadzi do nieprawidłowego przydziału pamięci i potencjalnego przepełnienia bufora.

Ocena ryzyka

Atakujący może zdalnie wysłać spreparowaną mapę OSD, wywołując awarię systemu (DoS) lub potencjalnie uzyskać nieautoryzowany dostęp do danych w pamięci jądra, co zagraża poufności i integralności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować jądro Linux do wersji zawierającej poprawkę (commit z dodanym sprawdzeniem zgodności pól alg i b->alg). Przed aktualizacją zaleca się ograniczenie zaufanych źródeł map OSD w konfiguracji Ceph.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: libceph: Fix potential out-of-bounds access in crush_decode() A message of type CEPH_MSG_OSD_MAP containing a crush map with at least one bucket has two fields holding the bucket algorithm. If the values in these two fields differ, an out-of-bounds access can occur. This is the case because the first algorithm field (alg) is used to allocate the correct amount of memory for a bucket of this type, while the second algorithm field inside the bucket (b->alg) is used in the subsequent processing. This patch fixes the issue by adding a check that compares alg and b->alg and aborts the processing in case they differ. Furthermore, b->alg is set to 0 in this case, because the destruction of the crush map also uses this field to determine the bucket type, which can again result in an out-of-bounds access when trying to free the memory pointed to by the fields of the bucket. To correctly free the memory allocated for the bucket in such a case, the corresponding call to kfree is moved from the algorithm-specific crush_destroy_bucket functions to the generic crush_destroy_bucket().

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS