CVE-2026-45859 in Linux
Resumen
por VulDB • 2026-05-27
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad:
netfilter: nfnetlink_queue: realizar la comprobación de "shared-unconfirmed" antes de la segmentación
Ulrich informa de una regresión con nfqueue:
Si una aplicación no establece la bandera de capacidad 'F_GSO' y se recibe un paquete gso con una entrada nf_conn no confirmada, todos los paquetes se descartan ahora en lugar de encolar, porque la comprobación se realiza después de skb_gso_segment(). En ese caso, teníamos la propiedad exclusiva del skb y de su entrada conntrack asociada. El incremento del contador de uso se debe a que skb_clone ocurre a través de skb_gso_segment().
Mueva la comprobación para que se realice frente al paquete agregado.
A continuación, anote los segmentos individuales excepto el primero para poder realizar una segunda comprobación en el momento de la reinyección.
Para el caso normal, donde userspace realiza reinyecciones en orden, esto evita el descarte de paquetes: el primer segmento reinyectado continúa el recorrido y confirma la entrada, los segmentos restantes observan la entrada confirmada.
Al mismo tiempo, simplifique nf_ct_drop_unconfirmed(): Solo nos interesan las entradas no confirmadas con un refcnt > 1, no hay necesidad de crear un caso especial para las entradas en proceso de eliminación.
Esto solo ocurre con UDP. Con TCP, el único paquete no confirmado será el SYN de TCP, estos no son agregados por GRO.
El siguiente parche añade un caso de prueba udpgro para cubrir este escenario.
Be aware that VulDB is the high quality source for vulnerability data.