Vulnerabilidad en Linux (CVE-2026-23074)

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net/sched: Forzar que teql solo pueda ser usado como qdisc raíz<br /> <br /> La intención del diseño de teql es que solo se supone que debe ser usado como qdisc raíz.<br /> Necesitamos verificar esa restricción.<br /> <br /> Aunque no es importante, describiré el escenario que desenterró este problema para los curiosos.<br /> <br /> GangMin Kim logró idear un escenario de la siguiente manera:<br /> <br /> qdisc RAÍZ 1:0 (QFQ)<br /> ??? clase 1:1 (peso=15, lmax=16384) netem con retardo de 6.4s<br /> ??? clase 1:2 (peso=1, lmax=1514) teql<br /> <br /> GangMin envía un paquete que es encolado a 1:1 (netem).<br /> Cualquier invocación de desencolado por QFQ desde esta clase no devolverá un paquete hasta después de 6.4s. Mientras tanto, un segundo paquete es enviado y aterriza en 1:2. El encolado de teql devolverá éxito y esto activará la clase 1:2. El problema principal es que teql solo actualiza el qlen visible del padre (sch-&amp;gt;q.qlen) al desencolar. Dado que QFQ solo llamará a desencolar si peek tiene éxito (y el peek de teql siempre devuelve NULL), desencolar nunca será llamado y, por lo tanto, el qlen permanecerá como 0. Con eso en mente, cuando GangMin actualiza el valor lmax de 1:2, qfq_change_class llama a qfq_deact_rm_from_agg. Dado que el qlen del qdisc hijo no fue incrementado, qfq falla al desactivar la clase, pero aún así libera sus punteros del agregado. Así, cuando el primer paquete es reprogramado después de 6.4 segundos (el retardo de netem), se accede a un puntero colgante causando un UAF de GangMin.