Vulnerabilidad en kernel de Linux (CVE-2025-38608)
Gravedad:
Pendiente de análisis
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/08/2025
Última modificación:
03/11/2025
Descripción
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf, ktls: Se corrige la corrupción de datos al usar bpf_msg_pop_data() en ktls. Al enviar datos de texto plano, inicialmente se calculaba la longitud del texto cifrado correspondiente. Sin embargo, si posteriormente se reducía la longitud de los datos de texto plano mediante la política de socket, no se podía recalcular la longitud del texto cifrado. Esto provoca que se transmitan búferes con datos sin inicializar durante la transmisión del texto cifrado. Esto provoca que se añadan bytes sin inicializar después de un paquete completo de "Datos de Aplicación", lo que genera errores en el receptor al analizar el registro TLS.
Impacto
Referencias a soluciones, herramientas e información
- https://git.kernel.org/stable/c/0e853c1464bcf61207f8b5c32d2ac5ee495e859d
- https://git.kernel.org/stable/c/16aca8bb4ad0d8a13c8b6da4007f4e52d53035bb
- https://git.kernel.org/stable/c/178f6a5c8cb3b6be1602de0964cd440243f493c9
- https://git.kernel.org/stable/c/1e480387d4b42776f8957fb148af9d75ce93b96d
- https://git.kernel.org/stable/c/6ba20ff3cdb96a908b9dc93cf247d0b087672e7c
- https://git.kernel.org/stable/c/73fc5d04009d3969ff8e8574f0fd769f04124e59
- https://git.kernel.org/stable/c/849d24dc5aed45ebeb3490df429356739256ac40
- https://git.kernel.org/stable/c/90d6ef67440cec2a0aad71a0108c8f216437345c
- https://git.kernel.org/stable/c/ee03766d79de0f61ea29ffb6ab1c7b196ea1b02e
- https://lists.debian.org/debian-lts-announce/2025/10/msg00007.html
- https://lists.debian.org/debian-lts-announce/2025/10/msg00008.html