CVE-2026-23276
Gravedad:
Pendiente de análisis
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/03/2026
Última modificación:
20/03/2026
Descripción
En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br />
<br />
net: añadir límite de recursión de xmit a las funciones xmit de túnel<br />
<br />
Las funciones xmit de túnel (iptunnel_xmit, ip6tunnel_xmit) carecen de su propio límite de recursión. Cuando un dispositivo bond en modo broadcast tiene interfaces GRE tap como esclavos, y esos túneles GRE enrutan de vuelta a través del bond, el tráfico multicast/broadcast desencadena una recursión infinita entre bond_xmit_broadcast() y ip_tunnel_xmit()/ip6_tnl_xmit(), causando un desbordamiento de pila del kernel.<br />
<br />
El XMIT_RECURSION_LIMIT (8) existente en la ruta sin qdisc no es suficiente porque la recursión del túnel implica búsquedas de ruta y salida IP completa, consumiendo mucha más pila por nivel. Use un límite inferior de 4 (IP_TUNNEL_RECURSION_LIMIT) para prevenir el desbordamiento.<br />
<br />
Añada detección de recursión usando las funciones auxiliares dev_xmit_recursion directamente en iptunnel_xmit() y ip6tunnel_xmit() para cubrir todas las rutas de túnel IPv4/IPv6, incluyendo los túneles encapsulados UDP (VXLAN, Geneve, etc.).<br />
<br />
Mueva las funciones auxiliares dev_xmit_recursion de net/core/dev.h al encabezado público include/linux/netdevice.h para que puedan ser usadas por el código del túnel.<br />
<br />
BUG: KASAN: pila-fuera-de-límites en blake2s.constprop.0+0xe7/0x160<br />
Escritura de tamaño 32 en la dirección ffff88810033fed0 por la tarea kworker/0:1/11<br />
Cola de trabajo: mld mld_ifc_work<br />
Rastro de Llamada:<br />
<br />
__build_flow_key.constprop.0 (net/ipv4/route.c:515)<br />
ip_rt_update_pmtu (net/ipv4/route.c:1073)<br />
iptunnel_xmit (net/ipv4/ip_tunnel_core.c:84)<br />
ip_tunnel_xmit (net/ipv4/ip_tunnel.c:847)<br />
gre_tap_xmit (net/ipv4/ip_gre.c:779)<br />
dev_hard_start_xmit (net/core/dev.c:3887)<br />
sch_direct_xmit (net/sched/sch_generic.c:347)<br />
__dev_queue_xmit (net/core/dev.c:4802)<br />
bond_dev_queue_xmit (drivers/net/bonding/bond_main.c:312)<br />
bond_xmit_broadcast (drivers/net/bonding/bond_main.c:5279)<br />
bond_start_xmit (drivers/net/bonding/bond_main.c:5530)<br />
dev_hard_start_xmit (net/core/dev.c:3887)<br />
__dev_queue_xmit (net/core/dev.c:4841)<br />
ip_finish_output2 (net/ipv4/ip_output.c:237)<br />
ip_output (net/ipv4/ip_output.c:438)<br />
iptunnel_xmit (net/ipv4/ip_tunnel_core.c:86)<br />
gre_tap_xmit (net/ipv4/ip_gre.c:779)<br />
dev_hard_start_xmit (net/core/dev.c:3887)<br />
sch_direct_xmit (net/sched/sch_generic.c:347)<br />
__dev_queue_xmit (net/core/dev.c:4802)<br />
bond_dev_queue_xmit (drivers/net/bonding/bond_main.c:312)<br />
bond_xmit_broadcast (drivers/net/bonding/bond_main.c:5279)<br />
bond_start_xmit (drivers/net/bonding/bond_main.c:5530)<br />
dev_hard_start_xmit (net/core/dev.c:3887)<br />
__dev_queue_xmit (net/core/dev.c:4841)<br />
ip_finish_output2 (net/ipv4/ip_output.c:237)<br />
ip_output (net/ipv4/ip_output.c:438)<br />
iptunnel_xmit (net/ipv4/ip_tunnel_core.c:86)<br />
ip_tunnel_xmit (net/ipv4/ip_tunnel.c:847)<br />
gre_tap_xmit (net/ipv4/ip_gre.c:779)<br />
dev_hard_start_xmit (net/core/dev.c:3887)<br />
sch_direct_xmit (net/sched/sch_generic.c:347)<br />
__dev_queue_xmit (net/core/dev.c:4802)<br />
bond_dev_queue_xmit (drivers/net/bonding/bond_main.c:312)<br />
bond_xmit_broadcast (drivers/net/bonding/bond_main.c:5279)<br />
bond_start_xmit (drivers/net/bonding/bond_main.c:5530)<br />
dev_hard_start_xmit (net/core/dev.c:3887)<br />
__dev_queue_xmit (net/core/dev.c:4841)<br />
mld_sendpack<br />
mld_ifc_work<br />
process_one_work<br />
worker_thread<br />