CVE-2025-37785 in Linux
Zusammenfassung
von VulDB • 22.06.2026
Im Linux-Kernel wurde folgende Schwachstelle behoben:
ext4: Behebung eines OOB-Lesezugriffs (Out-of-Bounds) bei der Prüfung des Verzeichniseintrags „dotdot“
Das Einbinden (Mounting) eines beschädigten Dateisystems mit einem Verzeichnis, das einen '.'-Verzeichniseintrag mit rec_len == Blockgröße enthält, führt zu einem Lesezugriff außerhalb der Grenzen (Out-of-Bounds Read), was später auftritt, wenn das beschädigte Verzeichnis entfernt wird.
ext4_empty_dir() geht davon aus, dass jedes ext4-Verzeichnis mindestens '.' und '..' als Verzeichniseinträge im ersten Datenblock enthält. Es lädt zunächst den '.'-Verzeichniseintrag, führt Integritätsprüfungen durch, indem es ext4_check_dir_entry() aufruft, und verwendet anschließend sein rec_len-Mitglied, um die Position des '..'-Verzeichniseintrags zu berechnen (in ext4_next_entry). Es wird angenommen, dass der '..'-Verzeichniseintrag in denselben Datenblock passt.
Wenn der rec_len von '.' genau einem Block (4 KB) entspricht, entgeht er den Integritätsprüfungen (er gilt als letzter Verzeichniseintrag im Datenblock), und „struct ext4_dir_entry_2 *de“ zeigt exakt hinter
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.