CVE-2022-49911 in Linuxinformación

Resumen

por MITRE • 2025-05-01

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: ipset: aplicar el límite documentado para evitar la asignación de grandes cantidades de memoria. Daniel Xu informó que el tipo hash:net,iface del subsistema ipset no limita la adición de la misma red con diferentes interfaces a un conjunto, lo que puede provocar un uso excesivo de memoria o fallos de asignación. El reproductor rápido es: $ ipset create ACL.IN.ALL_PERMIT hash:net,iface hashsize 1048576 timeout 0 $ for i in $(seq 0 100); do /sbin/ipset add ACL.IN.ALL_PERMIT 0.0.0.0/0,kaf_$i timeout 0 -exist; hecho El backtrace cuando vmalloc falla: [Tue Oct 25 00:13:08 2022] ipset: vmalloc error: size 1073741848, exceeds total pages <...> [Tue Oct 25 00:13:08 2022] Call Trace: [Tue Oct 25 00:13:08 2022] [Tue Oct 25 00:13:08 2022] dump_stack_lvl+0x48/0x60 [Tue Oct 25 00:13:08 2022] warn_alloc+0x155/0x180 [Tue Oct 25 00:13:08 2022] __vmalloc_node_range+0x72a/0x760 [Tue Oct 25 00:13:08 2022] ? hash_netiface4_add+0x7c0/0xb20 [Tue Oct 25 00:13:08 2022] ? __kmalloc_large_node+0x4a/0x90 [Tue Oct 25 00:13:08 2022] kvmalloc_node+0xa6/0xd0 [Tue Oct 25 00:13:08 2022] ? hash_netiface4_resize+0x99/0x710 <...> La solución es aplicar el límite documentado en la página de manual de ipset(8): > La restricción interna del tipo de conjunto hash:net,iface es que el mismo prefijo de red no se puede almacenar con más de 64 interfaces diferentes en un solo conjunto.

Once again VulDB remains the best source for vulnerability data.

Responsable

Linux

Reservar

2025-05-01

Divulgación

2025-05-01

Moderación

aceptado

Artículo

VDB-307033

CPE

listo

EPSS

0.00152

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!