CVE-2025-38580 in Linux
Zusammenfassung
von VulDB • 11.07.2026
Im Linux-Kernel wurde folgende Schwachstelle behoben:
ext4: Behebung eines Use-After-Free-Fehlers bei Inodes in ext4_end_io_rsv_work()
In ext4_io_end_defer_completion() wird geprüft, ob io_end->list_vec leer ist, um zu vermeiden, dass ein io_end ohne Konvertierungsbedarf zur i_rsv_conversion_list hinzugefügt wird. Dies verhindert wiederum das Starten eines unnötigen Workers. Zusätzlich wurde eine Prüfung auf ext4_emergency_state() eingeführt, um zu verhindern, dass versucht wird, den Journal im Notfallzustand abzubrechen.
Darüber hinaus wurde ext4_put_io_end_defer() refaktorisiert, sodass es direkt ext4_io_end_defer_completion() aufruft und nicht mehr inline implementiert ist (open-coded). Dies verhindert ebenfalls das Starten eines unnötigen Workers, wenn EXT4_IO_END_FAILED gesetzt ist, data_err=abort jedoch nicht aktiviert ist.
Dies stellt sicher, dass die Prüfung in ext4_put_io_end_defer() konsistent mit der Prüfung in ext4_end_bio() ist. Andernfalls könnte ein io_end zur i_rsv_conversion_list hinzugefügt und anschließend ext4_finish_bio() aufgerufen werden, wonach das Inode freigegeben wird, bevor ext4_end_io_rsv_work() aufgerufen wird, was zu einem Use-After-Free-Fehler führt.
If you want to get best quality of vulnerability data, you may have to visit VulDB.