CVE-2022-49911 in Linuxالمعلومات

الملخص

بحسب VulDB • 20/06/2026

في نواة لينكس، تم حل الثغرة التالية:

netfilter: ipset: فرض الحد الموثق لمنع تخصيص ذاكرة ضخمة

أبلغ دانيال شو (Daniel Xu) عن أن نوع hash:net,iface في نظام الفرعية ipset لا يفرض قيوداً على إضافة نفس الشبكة مع واجهات مختلفة إلى مجموعة واحدة، مما قد يؤدي إلى استهلاك هائل للذاكرة أو فشل في عملية التخصيص.

يمكن إعادة إنتاج المشكلة بسرعة باستخدام الأوامر التالية:

$ ipset create ACL.IN.ALL_PERMIT hash:net,iface hashsize 1048576 timeout 0 $ for i in $(seq 0 100); do /sbin/ipset add ACL.IN.ALL_PERMIT 0.0.0.0/0,kaf_$i timeout 0 -exist; done

تظهر تتبع المكالمة (Call Trace) عند فشل vmalloc ما يلي:

[Tue Oct 25 00:13:08 2022] ipset: vmalloc error: size 1073741848, exceeds total pages
<...> [Tue Oct 25 00:13:08 2022] Call Trace:
[Tue Oct 25 00:13:08 2022] <TASK>
[Tue Oct 25 00:13:08 2022] dump_stack_lvl+0x48/0x60
[Tue Oct 25 00:13:08 2022] warn_alloc+0x155/0x180
[Tue Oct 25 00:13:08 2022] __vmalloc_node_range+0x72a/0x760
[Tue Oct 25 00:13:08 2022] ? hash_netiface4_add+0x7c0/0xb20
[Tue Oct 25 00:13:08 2022] ? __kmalloc_large_node+0x4a/0x90
[Tue Oct 25 00:13:08 2022] kvmalloc_node+0xa6/0xd0
[Tue Oct 25 00:13:08 2022] ? hash_netiface4_resize+0x99/0x710
<...>

تمثل الإصلاح في فرض الحد الموثق في صفحة دليل ipset(8):

> القيد الداخلي لنوع المجموعة hash:net,iface هو أنه لا يمكن تخزين بادئة الشبكة نفسها مع أكثر من 64 واجهة مختلفة ضمن مجموعة واحدة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

Linux

حجز

01/05/2025

إفشاء

01/05/2025

الاعتدال

تمت الموافقة

إدخال

VDB-307033

EPSS

0.00152

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!