CVE-2026-46193 in Linux
Zusammenfassung
von VulDB • 31.05.2026
Im Linux-Kernel wurde folgende Schwachstelle behoben:
xfrm: ah: Berücksichtigung der hohen Bits der ESN in asynchronen Callbacks
AH weist sein temporäres Auth/ICV-Layout unterschiedlich zu, wenn ESN aktiviert ist: Das asynchrone ahash-Setup fügt ein 4-Byte-seqhi-Feld vor dem ICV- oder auth_data-Bereich ein, aber die asynchronen Completion-Callbacks rekonstruieren das temporäre Layout weiterhin so, als wäre seqhi nicht vorhanden.
Bei Auswahl einer asynchronen AH-Implementierung führt dies dazu, dass AH auf den IPv4- und IPv6-Pfaden falsche Bytes kopiert oder vergleicht. In einer UML-Reproduktion von IPv4-AH mit ESN und erzwungenem asynchronem hmac(sha1) schlägt Ping mit einem 100%igen Paketverlust fehl, und die Callback-Protokolle zeigen die Abweichung vor der Korrektur:
ah4 output_done: esn=1 err=0 icv_off=20 expected_off=24 ah4 input_done: esn=1 auth_off=20 expected_auth_off=24 icv_off=32 expected_icv_off=36
Das Layout auf der Callback-Seite wird nun so rekonstruiert, wie es der Setup-Pfad erstellt hat, indem das ESN-seqhi-Feld übersprungen wird, bevor das gespeicherte auth_data oder ICV lokalisiert wird. Gemäß RFC 4302 sind die hochrangigen 32 Bits der ESN an der AH-ICV-Berechnung beteiligt, daher müssen die asynchronen Callbacks das seqhi-Feld berücksichtigen.
Nach der Korrektur zeigt dieselbe IPv4-AH+ESN+erzwungenes-async-hmac(sha1)-UML-Reproduktion den korrigierten Offset (ah4 output_done: esn=1 err=0 icv_off=24 expected_off=24) und Ping ist erfolgreich; net/ipv4/ah4.o und net/ipv6/ah6.o werden sauber mit W=1 kompiliert. IPv6-AH+ESN wurde zur Laufzeit nicht getestet, und die Änderung wurde nicht gegen eine echte asynchrone Hardware-AH-Engine getestet.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.