CVE-2025-37799

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vmxnet3: Se ha corregido un tamaño de paquete incorrecto en vmxnet3_process_xdp. El manejo de XDP del controlador vmxnet3 presenta errores para tamaños de paquete que utilizan ring0 (es decir, tamaños de paquete entre 128 y 3 k bytes). Observamos problemas de conectividad relacionados con la MTU con el balanceo de carga del servicio de Cilium en el caso de vmxnet3 como NIC subyacente. Una simple conexión curl a un servicio HTTP backend donde el LB XDP realizaba encapsulado IPIP generó tamaños de paquete excesivamente grandes, pero solo para *algunos* paquetes (p. ej., una solicitud HTTP GET), mientras que otros (p. ej., el TCP 3WHS anterior) funcionaron correctamente en la red. De hecho, la grabación de pcap en el nodo backend reveló que el nodo con el LB XDP estaba filtrando datos de kernel sin inicializar en la red para los paquetes afectados. Por ejemplo, si bien los paquetes deberían haber tenido 152 bytes, su tamaño real era de 1482 bytes, por lo que el resto después de 152 bytes se rellenó con cualquier otro dato que hubiera en esa página en ese momento (por ejemplo, vimos datos de usuario/carga útil de paquetes procesados previamente). Solo notamos esto a través de un problema de MTU; por ejemplo, cuando el nodo LB XDP y el nodo backend tenían la misma MTU (por ejemplo, 1500), la solicitud curl se descartó en la NIC del nodo backend debido a que el paquete era demasiado grande, aunque el paquete encapsulado en IPIP normalmente ni siquiera se acercaría al límite de MTU. Reducir la MTU en el LB XDP (por ejemplo, 1480) permitió que la solicitud curl se ejecutara correctamente (lo que también indica que el kernel ignoró el relleno y, por lo tanto, el problema no era muy visible para el usuario). el commit e127ce7699c1 ("vmxnet3: Corrección de la falta de espacio reservado para la cola") estaba demasiado ansiosa por cambiar xdp_prepare_buff() de rcd->len a rbi->len. Es necesario que se mantenga en rcd->len, que es la longitud real del paquete del descriptor. Por cierto, esta última también se introduce en vmxnet3_process_xdp_small(), e indica la longitud correcta necesaria para inicializar las partes xdp->{data,data_end}. Para e127ce7699c1 ("vmxnet3: Corrección de la falta de espacio reservado para la cola"), la parte relevante fue adaptar xdp_init_buff() para abordar la advertencia, dado que xdp_data_hard_end() depende de xdp->frame_sz. Con esto corregido, el tráfico en la red se ve bien de nuevo.