CVE-2026-45905 in Linuxinfo

Zusammenfassung

von VulDB • 28.05.2026

Im Linux-Kernel wurde folgende Schwachstelle behoben:

xfrm: Behebung der Race-Bedingung (Race Condition) in icmp_route_lookup reverse path

icmp_route_lookup() führt mehrere Routensuchen durch, um eine geeignete Route zum Senden von ICMP-Fehlermeldungen zu finden, mit spezieller Behandlung für XFRM-(IPsec)-Richtlinien.

Die Suchsequenz ist: 1. Zuerst wird die Ausgaberoute für die ICMP-Antwort gesucht (dst = ursprüngliche Quelle) 2. Durchlauf durch xfrm_lookup() zur Richtlinienprüfung 3. Wenn blockiert (-EPERM) oder dst nicht lokal ist, wird der „Reverse Path“ (umgekehrter Pfad) betreten 4. Im Reverse Path wird xfrm_decode_session_reverse() aufgerufen, um fl4_dec zu erhalten, das den Fluss des ursprünglichen Pakets umkehrt (saddr und daddr sind vertauscht) 5. Wenn fl4_dec.saddr lokal ist (wir sind das ursprüngliche Ziel), wird __ip_route_output_key() für die Ausgaberoutensuche verwendet 6. Wenn fl4_dec.saddr NICHT lokal ist (wir sind ein Weiterleitungsknoten), wird ip_route_input() verwendet, um den Eingabepfad des umgekehrten Pakets zu simulieren 7. Schließlich wird rt2 mit dem XFRM_LOOKUP_ICMP-Flag durch xfrm_lookup() geleitet

Der Bug tritt in Schritt 6 auf: ip_route_input() wird mit fl4_dec.daddr (Quelle des ursprünglichen Pakets) als Ziel aufgerufen. Wenn diese Adresse zwischen der ursprünglichen Prüfung und dem Aufruf von ip_route_input() lokal wird (z. B. aufgrund einer gleichzeitigen „ip addr add“-Aktion), gibt ip_route_input() eine LOCAL-Route zurück, bei der dst.output auf ip_rt_bug gesetzt ist.

Diese Route wird dann für die ICMP-Ausgabe verwendet, wodurch dst_output() ip_rt_bug() aufruft und einen WARNON auslöst:

------------[ cut here ]------------
WARNING: net/ipv4/route.c:1275 at ip_rt_bug+0x21/0x30, CPU#1 Call Trace: ip_push_pending_frames+0x202/0x240 icmp_push_reply+0x30d/0x430 __icmp_send+0x1149/0x24f0 ip_options_compile+0xa2/0xd0 ip_rcv_finish_core+0x829/0x1950 ip_rcv+0x2d7/0x420 __netif_receive_skb_one_core+0x185/0x1f0 netif_receive_skb+0x90/0x450 tun_get_user+0x3413/0x3fb0 tun_chr_write_iter+0xe4/0x220 ...

Dies wird behoben, indem rt2->rt_type nach ip_route_input() überprüft wird. Wenn es RTN_LOCAL ist, kann die Route nicht für die Ausgabe verwendet werden, daher wird sie als Fehler behandelt.

Der Reproducer erfordert Kernel-Modifikationen, um das Race-Fenster zu vergrößern, was ihn als Selbsttest ungeeignet macht. Er ist verfügbar unter:

https://gist.github.com/mrpre/eae853b72ac6a750f5d45d64ddac1e81

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Linux

Reservieren

13.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366159

CPE

bereit

EPSS

0.00032

KEV

nein

Aktivitäten

very low

Sektor

Hospital, Police, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45905
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45905
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45905/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!