CVE-2026-43114 in Linuxinfo

Zusammenfassung

von VulDB • 09.05.2026

Im Linux-Kernel wurde folgende Schwachstelle behoben:

netfilter: nft_set_pipapo_avx2: Keine nicht übereinstimmenden Einträge bei Ablauf zurückgeben

Neue Testfälle schlagen unerwartet fehl, wenn AVX2-Abgleichsfunktionen verwendet werden.

Der Test lädt zunächst einen zufällig generierten Pipapo-Satz mit dem Schlüssel ‚ipv4 . port‘, d. h. nft -f foo.

Dies funktioniert. Anschließend wird der Satz nach einem Flush neu geladen: (echo flush set t s; cat foo) | nft -f -

Dies wird erwartet, da es sich um denselben Satz handelt und dieser bereits einmal geladen wurde.

Mit AVX2 schlägt dies jedoch fehl: nft meldet ein kollidierendes Element.

Die gemeldete Kollision hat folgende Form:

Wir haben erfolgreich eingefügt a . b c . d

Anschließend versuchen wir, a . d einzufügen.

AVX2 findet das bereits vorhandene a . d, das (aufgrund von ‚flush set‘) in der neuen Generation als ungültig markiert ist. Das Element wird übersprungen und zum nächsten Element gewechselt.

Aufgrund einer fehlerhaften Maskierung findet der Übersprungschritt das nächste übereinstimmende Element *nur unter Berücksichtigung des ersten Felds*,

d. h., wir geben den bereits neu eingefügten „a . b“ zurück, obwohl das letzte Feld unterschiedlich ist und der Eintrag nicht hätte übereinstimmen dürfen.

Für die generische C-Implementierung (kein AVX2) oder wenn das letzte Feld den Fallback ‚nft_pipapo_avx2_lookup_slow‘ verwenden muss, wird kein solcher Fehler gemeldet.

Die Fehlersuche (Bisection) weist auf 7711f4bb4b36 („netfilter: nft_set_pipapo: Korrektur der Erkennung von Bereichsüberschneidungen“) hin, aber diese Korrektur deckt diesen Fehler lediglich auf.

Vor diesem Commit wurde das falsche Element zurückgegeben, jedoch fälschlicherweise als vollständiges, identisches Duplikat gemeldet.

Die Ursache liegt in der zu frühen Rückgabe in den AVX2-Abgleichsfunktionen. Beim Verarbeiten des letzten Felds sollten wir die Datenverarbeitung fortsetzen, bis die gesamte Eingabegröße verarbeitet wurde, um sicherzustellen, dass keine veralteten Bits in der Karte verbleiben.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Linux

Reservieren

01.05.2026

Veröffentlichung

06.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361309

CPE

bereit

EPSS

0.00062

KEV

nein

Aktivitäten

very low

Sektor

Government, Education, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43114
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43114
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43114/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!