Katalog CVE

CVE-2026-53191

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

W jądrze Linux w podsystemie io_uring/net wykryto podatność związaną z nieprawidłowym dziedziczeniem flagi IORING_CQE_F_BUF_MORE podczas ponownych prób odbioru w trybie bundle. Brak tej flagi w masce CQE_F_MASK powodował jej utratę, co prowadziło do błędnego zarządzania buforami przez przestrzeń użytkownika.

Ocena ryzyka

Organizacja narażona jest na nieprawidłowe działanie mechanizmu buforowania pierścieniowego (provided buffer rings) w trybie przyrostowym, co może skutkować uszkodzeniem danych lub awarią aplikacji korzystających z io_uring.

Rekomendacja

Należy niezwłocznie zaktualizować jądro Linux do wersji zawierającej poprawkę (commit dodający IORING_CQE_F_BUF_MORE do CQE_F_MASK). Przed aktualizacją zaleca się unikanie używania trybu bundle recv z buforami przyrostowymi.

Oryginalny opis (angielski, źródło NVD)

In the Linux kernel, the following vulnerability has been resolved: io_uring/net: inherit IORING_CQE_F_BUF_MORE across bundle recv retries When a bundle recv retries inside io_recv_finish(), the merge logic OR the saved cflags from the previous iteration with the cflags returned by the new iteration: cflags = req->cqe.flags | (cflags & CQE_F_MASK); Bits listed in CQE_F_MASK are inherited from the new iteration, and all other bits (notably IORING_CQE_F_BUFFER and the buffer ID) come from the saved cflags. Before this change CQE_F_MASK covered only IORING_CQE_F_SOCK_NONEMPTY and IORING_CQE_F_MORE. When using provided buffer rings (IOU_PBUF_RING_INC) with incremental mode, and bundle recv, io_kbuf_inc_commit() can leave the head ring entry partially consumed, __io_put_kbufs() then sets IORING_CQE_F_BUF_MORE on the returned cflags so userspace knows the buffer ID will be reused for subsequent completions. Because IORING_CQE_F_BUF_MORE was not in CQE_F_MASK, the merge above silently dropped it whenever the final retry iteration partially consumed the buffer, and the subsequent req->cqe.flags = cflags & ~CQE_F_MASK save would have left a stale IORING_CQE_F_BUF_MORE in the carried-over cflags had one been present. Userspace would then wrongfully advance it ring head past an entry the kernel still uses. Add IORING_CQE_F_BUF_MORE to CQE_F_MASK so it is both inherited from the new iteration into the user-visible CQE and stripped from the saved cflags between iterations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS