CVE-2026-3038

La función rtsock_msg_buffer() serializa información de enrutamiento en un búfer. Como parte de esto, copia estructuras sockaddr en una estructura sockaddr_storage en la pila. Asume que el campo de longitud de la sockaddr de origen ya había sido validado, pero este no es necesariamente el caso, y es posible que un programa malicioso en el espacio de usuario elabore una solicitud que desencadene un desbordamiento de 127 bytes.<br /> <br /> En la práctica, este desbordamiento sobrescribe inmediatamente el canario del marco de pila de rtsock_msg_buffer(), lo que resulta en un pánico una vez que la función regresa.<br /> <br /> El error permite a un usuario sin privilegios bloquear el kernel al desencadenar un desbordamiento de búfer de pila en rtsock_msg_buffer(). En particular, el desbordamiento corromperá un valor de canario de pila que se verifica cuando la función regresa; esto mitiga el impacto del desbordamiento de pila al desencadenar un pánico del kernel.<br /> <br /> Otros errores del kernel pueden existir que permitan al espacio de usuario encontrar el valor del canario y así anular la mitigación, momento en el que la escalada de privilegios local puede ser posible.