Vulnerabilidad en Linux (CVE-2026-23333)

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> netfilter: nft_set_rbtree: validar superposición de intervalo abierto<br /> <br /> [ Commit upstream 648946966a08e4cb1a71619e3d1b12bd7642de7b ]<br /> <br /> Los intervalos abiertos no tienen un elemento final, en particular un intervalo abierto al final del conjunto es difícil de validar porque carece del elemento final, y la validación de intervalos se basa en dicho elemento final para realizar las comprobaciones.<br /> <br /> Este parche añade un nuevo campo de bandera a la estructura nft_set_elem, esto no es un problema porque es un objeto temporal que se asigna en la pila desde la ruta de inserción/desactivación. Este campo de bandera se utiliza para especificar que este es el último elemento en este comando de añadir/eliminar.<br /> <br /> La última bandera se utiliza, en combinación con la cookie del elemento inicial, para comprobar si hay una superposición parcial, p. ej.<br /> <br /> Ya existe: 255.255.255.0-255.255.255.254<br /> Añadir intervalo: 255.255.255.0-255.255.255.255<br /> ~~~~~~~~~~~~~<br /> superposición de elemento inicial<br /> <br /> Básicamente, la idea es comprobar si existe un elemento final en el conjunto si hay una superposición con un elemento inicial existente.<br /> <br /> Sin embargo, el último intervalo abierto puede aparecer en cualquier posición en el comando de añadir, el caso límite puede complicarse un poco más:<br /> <br /> Ya existe: 255.255.255.0-255.255.255.254<br /> Añadir intervalos: 255.255.255.0-255.255.255.255,255.255.255.0-255.255.255.254<br /> ~~~~~~~~~~~~~<br /> superposición de elemento inicial<br /> <br /> Para detectar esta superposición, se anota que el nuevo elemento inicial es una posible superposición, luego se informa de la superposición si el siguiente elemento es otro elemento inicial que confirma el elemento anterior en un intervalo abierto al final del conjunto.<br /> <br /> Para las eliminaciones, no se actualiza la cookie inicial al eliminar un intervalo abierto, de lo contrario esto puede activar EEXIST espurios al añadir nuevos elementos.<br /> <br /> Desafortunadamente, no existe una bandera NFT_SET_ELEM_INTERVAL_OPEN que facilitaría la detección de superposiciones de intervalos abiertos.