Vulnerabilidad en Linux (CVE-2026-23200)

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> ipv6: Solucionar desajuste en el recuento de hermanos ECMP al borrar RTF_ADDRCONF<br /> <br /> syzbot informó un BUG del kernel en fib6_add_rt2node() al añadir una ruta IPv6. [0]<br /> <br /> El commit f72514b3c569 (&amp;#39;ipv6: borrar flags RA al añadir una ruta estática&amp;#39;) introdujo lógica para borrar RTF_ADDRCONF de rutas existentes cuando se añade una ruta estática con el mismo nexthop. Sin embargo, esto causa un problema cuando la ruta existente tiene una puerta de enlace.<br /> <br /> Cuando se borra RTF_ADDRCONF de una ruta que tiene una puerta de enlace, esa ruta se vuelve elegible para ECMP, es decir, rt6_qualify_for_ecmp() devuelve verdadero. El problema es que esta ruta nunca fue añadida a la lista fib6_siblings.<br /> <br /> Esto lleva a un desajuste entre los siguientes recuentos:<br /> <br /> - El recuento de hermanos calculado al iterar la cadena fib6_next, que incluye la ruta recién elegible para ECMP<br /> <br /> - Los hermanos reales en la lista fib6_siblings, que no incluye esa ruta<br /> <br /> Cuando se añade una ruta ECMP subsiguiente, fib6_add_rt2node() encuentra BUG_ON(sibling-&amp;gt;fib6_nsiblings != rt-&amp;gt;fib6_nsiblings) porque los recuentos no coinciden.<br /> <br /> Solucione esto borrando RTF_ADDRCONF solo cuando la ruta existente no tiene una puerta de enlace. Las rutas sin una puerta de enlace no pueden calificar para ECMP de todos modos (rt6_qualify_for_ecmp() requiere fib_nh_gw_family), por lo tanto, borrar RTF_ADDRCONF en ellas es seguro y coincide con la intención original del commit.<br /> <br /> [0]:<br /> BUG del kernel en net/ipv6/ip6_fib.c:1217!<br /> Oops: código de operación inválido: 0000 [#1] SMP KASAN PTI<br /> CPU: 0 UID: 0 PID: 6010 Comm: syz.0.17 No contaminado syzkaller #0 PREEMPT(full)<br /> Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 10/25/2025<br /> RIP: 0010:fib6_add_rt2node+0x3433/0x3470 net/ipv6/ip6_fib.c:1217<br /> [...]<br /> Traza de llamada:<br /> <br /> fib6_add+0x8da/0x18a0 net/ipv6/ip6_fib.c:1532<br /> __ip6_ins_rt net/ipv6/route.c:1351 [en línea]<br /> ip6_route_add+0xde/0x1b0 net/ipv6/route.c:3946<br /> ipv6_route_ioctl+0x35c/0x480 net/ipv6/route.c:4571<br /> inet6_ioctl+0x219/0x280 net/ipv6/af_inet6.c:577<br /> sock_do_ioctl+0xdc/0x300 net/socket.c:1245<br /> sock_ioctl+0x576/0x790 net/socket.c:1366<br /> vfs_ioctl fs/ioctl.c:51 [en línea]<br /> __do_sys_ioctl fs/ioctl.c:597 [en línea]<br /> __se_sys_ioctl+0xfc/0x170 fs/ioctl.c:583<br /> do_syscall_x64 arch/x86/entry/syscall_64.c:63 [en línea]<br /> do_syscall_64+0xfa/0xf80 arch/x86/entry/syscall_64.c:94<br /> entry_SYSCALL_64_after_hwframe+0x77/0x7f