Vulnerabilidad en kernel de Linux (CVE-2025-38248)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bridge: mcast: Arreglar el use-after-free durante la configuración del puerto del enrutador El puente mantiene una lista global de puertos tras los cuales reside un enrutador de multidifusión. La lista se consulta durante el reenvío para garantizar que los paquetes de multidifusión se reenvíen a estos puertos incluso si los puertos no son miembros de la entrada MDB correspondiente. Cuando se habilita la vigilancia de multidifusión por VLAN, se deshabilita el contexto de multidifusión por puerto en cada puerto y el puerto se elimina de la lista global de puertos del enrutador: # ip link add name br1 up type bridge vlan_filtering 1 mcast_snooping 1 # ip link add name dummy1 up master br1 type dummy # ip link set dev dummy1 type bridge_slave mcast_router 2 $ bridge -d mdb show | grep router router ports on br1: dummy1 # ip link set dev br1 type bridge mcast_vlan_snooping 1 $ bridge -d mdb show | grep router Sin embargo, el puerto se puede volver a agregar a la lista global incluso cuando el snooping de multidifusión por VLAN está habilitado: # ip link set dev dummy1 type bridge_slave mcast_router 0 # ip link set dev dummy1 type bridge_slave mcast_router 2 $ bridge -d mdb show | grep router router ports on br1: dummy1 Desde el commit 4b30ae9adb04 ("net: bridge: mcast: re-implement br_multicast_{enable, disabled}_port functions"), cuando el snooping de multidifusión por VLAN está habilitado, la deshabilitación de multidifusión en un puerto deshabilitará los contextos de multidifusión por {puerto, VLAN} y no el de cada puerto. Como resultado, un puerto permanecerá en la lista global de puertos del enrutador incluso después de eliminarlo. Esto generará un use-after-free [1] cuando se recorra la lista (al agregar un nuevo puerto a la lista, por ejemplo): # ip link del dev dummy1 # ip link add name dummy2 up master br1 type dummy # ip link set dev dummy2 type bridge_slave mcast_router 2 De manera similar, también se pueden encontrar entradas obsoletas en la lista de puertos del enrutador por VLAN. Cuando la vigilancia de multidifusión por VLAN está deshabilitada, los contextos por {puerto, VLAN} se deshabilitan en cada puerto y el puerto se elimina de la lista de puertos del enrutador por VLAN: # ip link add name br1 up type bridge vlan_filtering 1 mcast_snooping 1 mcast_vlan_snooping 1 # ip link add name dummy1 up master br1 type dummy # bridge vlan add vid 2 dev dummy1 # bridge vlan global set vid 2 dev br1 mcast_snooping 1 # bridge vlan set vid 2 dev dummy1 mcast_router 2 $ bridge vlan global show dev br1 vid 2 | grep router router ports: dummy1 # ip link set dev br1 type bridge mcast_vlan_snooping 0 $ bridge vlan global show dev br1 vid 2 | grep router Sin embargo, el puerto se puede volver a agregar a la lista por VLAN incluso cuando el snooping de multidifusión por VLAN está deshabilitado: # bridge vlan set vid 2 dev dummy1 mcast_router 0 # bridge vlan set vid 2 dev dummy1 mcast_router 2 $ bridge vlan global show dev br1 vid 2 | grep router router ports: dummy1 Cuando se elimina la VLAN del puerto, el contexto de multidifusión por {puerto, VLAN} no se deshabilitará ya que el snooping de multidifusión no está habilitado en la VLAN. Como resultado, el puerto permanecerá en la lista de puertos del enrutador por VLAN incluso después de que ya no sea miembro de la VLAN. Esto dará lugar a un use-after-free [2] cuando se recorra la lista (al añadir un nuevo puerto a la lista, por ejemplo): # ip link add name dummy2 up master br1 type dummy # bridge vlan add vid 2 dev dummy2 # bridge vlan del vid 2 dev dummy1 # bridge vlan set vid 2 dev dummy2 mcast_router 2 Solucione estos problemas eliminando el puerto de la lista de puertos del enrutador relevante (global o por VLAN) en br_multicast_port_ctx_deinit(). La función se invoca durante la eliminación del puerto con el contexto de multidifusión por puerto y durante la eliminación de VLAN con el contexto de multidifusión por {puerto, VLAN}. ---truncado---