Vulnerabilidad en Linux (CVE-2025-71160)

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> netfilter: nf_tables: evitar la revalidación de cadenas si es posible<br /> <br /> Hamza Mahfooz informa de bloqueos suaves de CPU en<br /> nft_chain_validate():<br /> <br /> watchdog: BUG: soft lockup - CPU#1 atascada durante 27s! [iptables-nft-re:37547]<br /> [..]<br /> RIP: 0010:nft_chain_validate+0xcb/0x110 [nf_tables]<br /> [..]<br /> nft_immediate_validate+0x36/0x50 [nf_tables]<br /> nft_chain_validate+0xc9/0x110 [nf_tables]<br /> nft_immediate_validate+0x36/0x50 [nf_tables]<br /> nft_chain_validate+0xc9/0x110 [nf_tables]<br /> nft_immediate_validate+0x36/0x50 [nf_tables]<br /> nft_chain_validate+0xc9/0x110 [nf_tables]<br /> nft_immediate_validate+0x36/0x50 [nf_tables]<br /> nft_chain_validate+0xc9/0x110 [nf_tables]<br /> nft_immediate_validate+0x36/0x50 [nf_tables]<br /> nft_chain_validate+0xc9/0x110 [nf_tables]<br /> nft_immediate_validate+0x36/0x50 [nf_tables]<br /> nft_chain_validate+0xc9/0x110 [nf_tables]<br /> nft_table_validate+0x6b/0xb0 [nf_tables]<br /> nf_tables_validate+0x8b/0xa0 [nf_tables]<br /> nf_tables_commit+0x1df/0x1eb0 [nf_tables]<br /> [..]<br /> <br /> Actualmente, nf_tables recorrerá toda la tabla (grafo de cadenas), comenzando<br /> desde los puntos de entrada (cadenas base), explorando todas las rutas posibles<br /> (saltos de cadena). Pero hay casos en los que podríamos evitar la revalidación.<br /> <br /> Considere:<br /> 1 input -&amp;gt; j2 -&amp;gt; j3<br /> 2 input -&amp;gt; j2 -&amp;gt; j3<br /> 3 input -&amp;gt; j1 -&amp;gt; j2 -&amp;gt; j3<br /> <br /> Entonces la segunda regla no necesita revalidar j2, y, por extensión j3,<br /> porque esto ya fue verificado durante la validación de la primera regla.<br /> Necesitamos validarlo solo para la regla 3.<br /> <br /> Esto es necesario porque la detección de bucles de cadena también asegura que no excedamos<br /> la pila de saltos: Solo porque sabemos que j2 está libre de ciclos, su último salto<br /> podría ahora exceder el tamaño de pila permitido. También necesitamos actualizar todas<br /> las cadenas alcanzables con la nueva profundidad de llamada más grande observada.<br /> <br /> Se debe tener cuidado de revalidar incluso si la profundidad de la cadena no será un<br /> problema: la validación de la cadena también asegura que las expresiones no se llamen desde<br /> cadenas base inválidas. Por ejemplo, la expresión de enmascaramiento solo puede ser<br /> llamada desde cadenas base de postrouting NAT.<br /> <br /> Por lo tanto, también necesitamos mantener un registro del contexto de la cadena base (tipo,<br /> hooknum) y revalidar si la cadena se vuelve alcanzable desde una ubicación de hook diferente.