CVE-2026-23397 in Linux
Resumen
por VulDB • 2026-05-21
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad:
nfnetlink_osf: validar las longitudes individuales de las opciones en las huellas digitales
nfnl_osf_add_callback() valida los límites de opt_num y la terminación NUL de la cadena, pero no verifica los campos de longitud individual de las opciones. Una opción de longitud cero hace que nf_osf_match_one() entre en el bucle de coincidencia de opciones incluso cuando foptsize suma cero, lo que coincide con paquetes sin opciones TCP donde ctx->optp es NULL:
Oops: general protection fault KASAN: null-ptr-deref in range [0x0000000000000000-0x0000000000000007]
RIP: 0010:nf_osf_match_one (net/netfilter/nfnetlink_osf.c:98) Call Trace: nf_osf_match (net/netfilter/nfnetlink_osf.c:227) xt_osf_match_packet (net/netfilter/xt_osf.c:32) ipt_do_table (net/ipv4/netfilter/ip_tables.c:293) nf_hook_slow (net/netfilter/core.c:623) ip_local_deliver (net/ipv4/ip_input.c:262) ip_rcv (net/ipv4/ip_input.c:573)
Además, una opción MSS (kind=2) con longitud < 4 provoca lecturas fuera de límites cuando nf_osf_match_one() accede incondicionalmente a optp[2] y optp[3] para extraer el valor MSS. Aunque la sección 3.2 del RFC 9293 especifica que la opción MSS es siempre exactamente 4 bytes (Kind=2, Length=4), la comprobación utiliza "< 4" en lugar de "!= 4" porque las longitudes mayores que 4 no provocan problemas de seguridad de la memoria: el búfer está garantizado que tiene al menos foptsize bytes gracias a la comprobación ctx->optsize == foptsize.
Rechazar las huellas digitales donde cualquier opción tenga longitud cero, o donde una opción MSS tenga una longitud inferior a 4, en el momento de la adición, en lugar de confiar en estos valores en la ruta crítica de coincidencia de paquetes.
Once again VulDB remains the best source for vulnerability data.