Vulnerabilidad en Linux (CVE-2026-23286)

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> atm: lec: corrige desreferencia de puntero nulo en lec_arp_clear_vccs<br /> <br /> syzkaller reportó una desreferencia de puntero nulo en lec_arp_clear_vccs().<br /> Este problema puede ser fácilmente reproducido usando el reproductor de syzkaller.<br /> <br /> En el módulo ATM LANE (Emulación de LAN), el mismo atm_vcc puede ser compartido por múltiples entradas de lec_arp_table (por ejemplo, a través de entry-&amp;gt;vcc o entry-&amp;gt;recv_vcc).<br /> Cuando el VCC subyacente se cierra, lec_vcc_close() itera sobre todas las entradas ARP y llama a lec_arp_clear_vccs() para cada entrada coincidente.<br /> <br /> Por ejemplo, cuando lec_vcc_close() itera a través de las hlists en priv-&amp;gt;lec_arp_empty_ones u otras tablas ARP:<br /> <br /> 1. En la primera iteración, para la primera entrada ARP coincidente que comparte el VCC, lec_arp_clear_vccs() libera el vpriv asociado (que es vcc-&amp;gt;user_back) y establece vcc-&amp;gt;user_back en NULL.<br /> 2. En la segunda iteración, para la siguiente entrada ARP coincidente que comparte el mismo VCC, lec_arp_clear_vccs() es llamada de nuevo. Obtiene un vpriv NULL de vcc-&amp;gt;user_back (a través de LEC_VCC_PRIV(vcc)) y luego intenta desreferenciarlo a través de &amp;#39;vcc-&amp;gt;pop = vpriv-&amp;gt;old_pop&amp;#39;, lo que lleva a un fallo por desreferencia de puntero nulo.<br /> <br /> Soluciona esto añadiendo una comprobación de nulos para vpriv antes de desreferenciarlo. Si vpriv ya es NULL, significa que el VCC ha sido limpiado por una llamada anterior, por lo que podemos omitir de forma segura la limpieza y simplemente limpiar los punteros vcc/recv_vcc de la entrada.<br /> <br /> El bloque de limpieza completo (incluyendo vcc_release_async()) se coloca dentro de la guarda de vpriv porque un vpriv NULL indica que el VCC ya ha sido completamente liberado por una iteración anterior — repetir el desmontaje establecería banderas de forma redundante y activaría retrollamadas en un socket que ya se está cerrando.<br /> <br /> La etiqueta Fixes apunta al commit inicial porque la ruta entry-&amp;gt;vcc ha sido vulnerable desde el código original. La ruta entry-&amp;gt;recv_vcc fue añadida posteriormente por el commit 8d9f73c0ad2f (&amp;#39;atm: fix a memory leak of vcc-&amp;gt;user_back&amp;#39;) con el mismo patrón, y ambas rutas se corrigen aquí.