Katalog CVE

CVE-2026-53131

KrytyczneCVSS 9.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 35 — wyżej niż 35% wszystkich znanych CVE

Streszczenie

W jądrze Linux wykryto podatność w podsystemie netfilter, gdzie funkcje takie jak `ip6t_eui64`, `xt_mac` oraz niektóre typy ipset (`bitmap:ip,mac`, `hash:ip,mac`, `hash:mac`) i `nf_log_syslog` uzyskiwały dostęp do nagłówka Ethernet (`eth_hdr(skb)`) bez uprzedniego sprawdzenia, czy ramka jest powiązana z urządzeniem Ethernetowym oraz czy nagłówek MAC jest poprawnie ustawiony i ma odpowiednią długość. Brak tych walidacji mógł prowadzić do nieprawidłowego odczytu danych.

Ocena ryzyka

Ryzyko polega na możliwości odczytu nieprawidłowych danych z bufora jądra, co może skutkować ujawnieniem informacji lub niestabilnością systemu. Atakujący mógłby wysłać spreparowany pakiet, który ominie kontrolę i spowoduje błędne działanie filtrów sieciowych.

Rekomendacja

Zaleca się natychmiastową aktualizację jądra Linux do wersji zawierającej poprawkę, która dodaje wymagane sprawdzenia przed dostępem do nagłówka Ethernet. Należy monitorować oficjalne biuletyny bezpieczeństwa dystrybucji Linux.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: netfilter: require Ethernet MAC header before using eth_hdr() `ip6t_eui64`, `xt_mac`, the `bitmap:ip,mac`, `hash:ip,mac`, and `hash:mac` ipset types, and `nf_log_syslog` access `eth_hdr(skb)` after either assuming that the skb is associated with an Ethernet device or checking only that the `ETH_HLEN` bytes at `skb_mac_header(skb)` lie between `skb->head` and `skb->data`. Make these paths first verify that the skb is associated with an Ethernet device, that the MAC header was set, and that it spans at least a full Ethernet header before accessing `eth_hdr(skb)`.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS