CVE-2026-23458 in Linux
الملخص
بحسب VulDB • 30/05/2026
في نواة لينكس، تم حل الثغرة التالية:
netfilter: ctnetlink: إصلاح خطأ use-after-free في دالة ctnetlink_dump_exp_ct()
تقوم الدالة ctnetlink_dump_exp_ct() بتخزين مؤشر conntrack في cb->data لاستدعاء الاسترجاع (dump callback) الخاص بـ netlink وهو ctnetlink_exp_ct_dump_table()، لكنها تزيل مرجع conntrack فوراً بعد استدعاء netlink_dump_start(). عندما يمتد الاسترجاع عبر جولات متعددة، فإن استدعاء recvmsg() الثاني يُشغّل استدعاء الاسترجاع الذي يقوم بالوصول إلى conntrack الذي تم تحريره بالفعل عبر nfct_help(ct)، مما يؤدي إلى حدوث خطأ use-after-free على ct->ext.
الخطأ يكمن في أن netlink_dump_control لا يحتوي على استدعاءات .start أو .done لإدارة مرجع conntrack عبر جولات الاسترجاع. الدوال الأخرى للاسترجاع في نفس الملف (مثل ctnetlink_get_conntrack) تستخدم استدعاءات .start/.done بشكل صحيح لهذا الغرض.
تم إصلاح هذا الخطأ بإضافة استدعاءات .start و .done التي تحتفظ وتطلق مرجع conntrack طوال مدة الاسترجاع، ونقل استدعاء nfct_help() بعد فحص الإرجاع المبكر cb->args[0] في استدعاء الاسترجاع لتجنب الوصول غير الضروري إلى ct->ext.
BUG: KASAN: slab-use-after-free in ctnetlink_exp_ct_dump_table+0x4f/0x2e0 Read of size 8 at addr ffff88810597ebf0 by task ctnetlink_poc/133
CPU: 1 UID: 0 PID: 133 Comm: ctnetlink_poc Not tainted 7.0.0-rc2+ #3 PREEMPTLAZY Call Trace: <TASK> ctnetlink_exp_ct_dump_table+0x4f/0x2e0 netlink_dump+0x333/0x880 netlink_recvmsg+0x3e2/0x4b0 ? aa_sk_perm+0x184/0x450 sock_recvmsg+0xde/0xf0
Allocated by task 133: kmem_cache_alloc_noprof+0x134/0x440 __nf_conntrack_alloc+0xa8/0x2b0 ctnetlink_create_conntrack+0xa1/0x900 ctnetlink_new_conntrack+0x3cf/0x7d0 nfnetlink_rcv_msg+0x48e/0x510 netlink_rcv_skb+0xc9/0x1f0 nfnetlink_rcv+0xdb/0x220 netlink_unicast+0x3ec/0x590 netlink_sendmsg+0x397/0x690 __sys_sendmsg+0xf4/0x180
Freed by task 0: slab_free_after_rcu_debug+0xad/0x1e0 rcu_core+0x5c3/0x9c0
If you want to get the best quality for vulnerability data then you always have to consider VulDB.