Vulnerabilidad en kernel de Linux (CVE-2025-21999)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
03/04/2025
Última modificación:
10/04/2025
Descripción
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: proc: corrección de UAF en proc_get_inode(). Corrección de la competencia entre rmmod y la instanciación de inodo de /proc/XXX. El error es que pde->proc_ops no pertenece a /proc, sino a un módulo; por lo tanto, desreferenciarlo después de registrar la entrada /proc es un error, a menos que se haya usado el par use_pde/unuse_pde(). Se puede evitar usar_pde/unuse_pde (¡2 operaciones atómicas!) porque pde->proc_ops nunca cambia, de modo que la información necesaria para la instanciación de inodo se puede guardar _antes_ de proc_register() en el propio PDE y usarse más tarde, evitando la desreferencia de pde->proc_ops->... . rmmod lookup sys_delete_module proc_lookup_de pde_get(de); proc_get_inode(dir->i_sb, de); mod->exit() proc_remove eliminar_subárbol_proc proc_entry_rundown(de); liberar_módulo(mod); if (S_ISREG(inode->i_mode)) if (de->proc_ops->proc_read_iter) --> Como el módulo ya está liberado, se activará UAF ERROR: no se puede manejar el error de página para la dirección: fffffbfff80a702b PGD 817fc4067 P4D 817fc4067 PUD 817fc0067 PMD 102ef4067 PTE 0 Oops: Oops: 0000 [#1] PREEMPT SMP KASAN PTI CPU: 26 UID: 0 PID: 2667 Comm: ls Tainted: G Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996) RIP: 0010:proc_get_inode+0x302/0x6e0 RSP: 0018:ffff88811c837998 EFLAGS: 00010a06 RAX: dffffc0000000000 RBX: fffffffc0538140 RCX: 0000000000000007 RDX: 1ffffffff80a702b RSI: 0000000000000001 RDI: ffffffffc0538158 RBP: ffff8881299a6000 R08: 0000000067bbe1e5 R09: 1ffff11023906f20 R10: ffffffffb560ca07 R11: ffffffffb2b43a58 R12: ffff888105bb78f0 R13: ffff888100518048 R14: ffff8881299a6004 R15: 0000000000000001 FS: 00007f95b9686840(0000) GS:ffff8883af100000(0000) knlGS:000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: fffffbfff80a702b CR3: 0000000117dd2000 CR4: 00000000000006f0 DR0: 00000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Rastreo de llamadas: proc_lookup_de+0x11f/0x2e0 __lookup_slow+0x188/0x350 walk_component+0x2ab/0x4f0 path_lookupat+0x120/0x660 filename_lookup+0x1ce/0x560 vfs_statx+0xac/0x150 __do_sys_newstat+0x96/0x110 do_syscall_64+0x5f/0x170 entry_SYSCALL_64_after_hwframe+0x76/0x7e [adobriyan@gmail.com: no realice 2 operaciones atómicas en la ruta común]
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 2.6.23 (incluyendo) | 6.1.132 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.2 (incluyendo) | 6.6.85 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.7 (incluyendo) | 6.12.21 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.13 (incluyendo) | 6.13.9 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:6.14:rc1:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:6.14:rc2:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:6.14:rc3:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:6.14:rc4:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://git.kernel.org/stable/c/4b0b8445b6fd41e6f62ac90547a0ea9d348de3fa
- https://git.kernel.org/stable/c/63b53198aff2e4e6c5866a4ff73c7891f958ffa4
- https://git.kernel.org/stable/c/64dc7c68e040251d9ec6e989acb69f8f6ae4a10b
- https://git.kernel.org/stable/c/654b33ada4ab5e926cd9c570196fefa7bec7c1df
- https://git.kernel.org/stable/c/966f331403dc3ed04ff64eaf3930cf1267965e53
- https://git.kernel.org/stable/c/eda279586e571b05dff44d48e05f8977ad05855d
- https://git.kernel.org/stable/c/ede3e8ac90ae106f0b29cd759aadebc1568f1308