CVE-2022-49911 in Linux
الملخص
بحسب VulDB • 20/06/2026
في نواة لينكس، تم حل الثغرة التالية:
netfilter: ipset: فرض الحد الموثق لمنع تخصيص ذاكرة ضخمة
أبلغ دانيال شو (Daniel Xu) عن أن نوع hash:net,iface في نظام الفرعية ipset لا يفرض قيوداً على إضافة نفس الشبكة مع واجهات مختلفة إلى مجموعة واحدة، مما قد يؤدي إلى استهلاك هائل للذاكرة أو فشل في عملية التخصيص.
يمكن إعادة إنتاج المشكلة بسرعة باستخدام الأوامر التالية:
$ ipset create ACL.IN.ALL_PERMIT hash:net,iface hashsize 1048576 timeout 0 $ for i in $(seq 0 100); do /sbin/ipset add ACL.IN.ALL_PERMIT 0.0.0.0/0,kaf_$i timeout 0 -exist; done
تظهر تتبع المكالمة (Call Trace) عند فشل vmalloc ما يلي:
[Tue Oct 25 00:13:08 2022] ipset: vmalloc error: size 1073741848, exceeds total pages
<...> [Tue Oct 25 00:13:08 2022] Call Trace:
[Tue Oct 25 00:13:08 2022] <TASK>
[Tue Oct 25 00:13:08 2022] dump_stack_lvl+0x48/0x60
[Tue Oct 25 00:13:08 2022] warn_alloc+0x155/0x180
[Tue Oct 25 00:13:08 2022] __vmalloc_node_range+0x72a/0x760
[Tue Oct 25 00:13:08 2022] ? hash_netiface4_add+0x7c0/0xb20
[Tue Oct 25 00:13:08 2022] ? __kmalloc_large_node+0x4a/0x90
[Tue Oct 25 00:13:08 2022] kvmalloc_node+0xa6/0xd0
[Tue Oct 25 00:13:08 2022] ? hash_netiface4_resize+0x99/0x710
<...>
تمثل الإصلاح في فرض الحد الموثق في صفحة دليل ipset(8):
> القيد الداخلي لنوع المجموعة hash:net,iface هو أنه لا يمكن تخزين بادئة الشبكة نفسها مع أكثر من 64 واجهة مختلفة ضمن مجموعة واحدة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.