Vulnerabilidad en kernel de Linux (CVE-2025-22021)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: socket: Lookup orig tuple for IPv6 SNAT nf_sk_lookup_slow_v4 realiza la búsqueda conntrack de paquetes IPv4 para restaurar la 5-tupla original en caso de SNAT, para poder encontrar el socket correcto (si lo hay). Entonces socket_match() puede verificar correctamente si el socket era transparente. Sin embargo, la contraparte IPv6 (nf_sk_lookup_slow_v6) carece de esta búsqueda conntrack, lo que hace que xt_socket no coincida en el socket cuando el paquete fue SNATed. Agregue la misma lógica a nf_sk_lookup_slow_v6. SNAT IPv6 se usa en clústeres de Kubernetes para paquetes pod-to-world, ya que las direcciones de los pods están en la subred fd00::/8 ULA y deben reemplazarse con la dirección externa del nodo. Cilium utiliza Envoy para implementar políticas L7, y Envoy utiliza sockets transparentes. Cilium inserta una regla de preenrutamiento de iptables que coincide con `-m socket --transparent` y redirige los paquetes a localhost, pero no coincide con los paquetes IPv6 SNAT debido a la falta de búsqueda de conntrack.