Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en kernel de Linux (CVE-2025-38052)

Gravedad:
Pendiente de análisis
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/06/2025
Última modificación:
18/06/2025

Descripción

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/tipc: corrección de lectura slab-use-after-free en tipc_aead_encrypt_done Syzbot informó de una lectura slab-use-after-free con el siguiente seguimiento de llamada: ======================================================================= ERROR: KASAN: slab-use-after-free en tipc_aead_encrypt_done+0x4bd/0x510 net/tipc/crypto.c:840 Lectura de tamaño 8 en la dirección ffff88807a733000 por la tarea kworker/1:0/25 Seguimiento de llamada: kasan_report+0xd9/0x110 mm/kasan/report.c:601 tipc_aead_encrypt_done+0x4bd/0x510 net/tipc/crypto.c:840 crypto_request_complete include/crypto/algapi.h:266 aead_request_complete include/crypto/internal/aead.h:85 cryptd_aead_crypt+0x3b8/0x750 crypto/cryptd.c:772 crypto_request_complete include/crypto/algapi.h:266 cryptd_queue_worker+0x131/0x200 crypto/cryptd.c:181 process_one_work+0x9fb/0x1b60 kernel/workqueue.c:3231 Asignado por la tarea 8355: kzalloc_noprof include/linux/slab.h:778 tipc_crypto_start+0xcc/0x9e0 net/tipc/crypto.c:1466 tipc_init_net+0x2dd/0x430 net/tipc/core.c:72 ops_init+0xb9/0x650 net/core/net_namespace.c:139 setup_net+0x435/0xb40 net/core/net_namespace.c:343 copy_net_ns+0x2f0/0x670 net/core/net_namespace.c:508 create_new_namespaces+0x3ea/0xb10 kernel/nsproxy.c:110 unshare_nsproxy_namespaces+0xc0/0x1f0 kernel/nsproxy.c:228 ksys_unshare+0x419/0x970 kernel/fork.c:3323 __do_sys_unshare kernel/fork.c:3394 Liberado por la tarea 63: kfree+0x12a/0x3b0 mm/slub.c:4557 tipc_crypto_stop+0x23c/0x500 net/tipc/crypto.c:1539 tipc_exit_net+0x8c/0x110 net/tipc/core.c:119 ops_exit_list+0xb0/0x180 net/core/net_namespace.c:173 cleanup_net+0x5b7/0xbf0 net/core/net_namespace.c:640 process_one_work+0x9fb/0x1b60 kernel/workqueue.c:3231 Después de liberar la transacción tipc_crypto al eliminar el espacio de nombres, tipc_aead_encrypt_done aún puede visitarla en cryptd_queue_worker workqueue. Reproduzco este problema mediante: ip netns add ns1 ip link add veth1 type veth peer name veth2 ip link set veth1 netns ns1 ip netns exec ns1 tipc bearer enable media eth dev veth1 ip netns exec ns1 tipc node set key this_is_a_master_key master ip netns exec ns1 tipc bearer disabled media eth dev veth1 ip netns del ns1 La clave de reproducción es que simd_aead_encrypt se interrumpe, lo que lleva a que crypto_simd_usable() devuelva falso. Por lo tanto, se activa cryptd_queue_worker y se visita la transacción tipc_crypto. tipc_disc_timeout tipc_bearer_xmit_skb tipc_crypto_xmit tipc_aead_encrypt crypto_aead_encrypt // cifrar() simd_aead_encrypt // crypto_simd_usable() es falso child = &ctx->cryptd_tfm->base; simd_aead_encrypt crypto_aead_encrypt // cifrar() cryptd_aead_encrypt_enqueue cryptd_aead_enqueue cryptd_enqueue_request // desencadenador cryptd_queue_worker queue_work_on(smp_processor_id(), cryptd_wq, &cpu_queue->work) Solucione esto manteniendo el recuento de referencias de red antes de cifrar.

Impacto