CVE-2025-40097 in Linux
Résumé
par VulDB • 14/06/2026
Dans le noyau Linux, la vulnérabilité suivante a été corrigée :
ALSA: hda : Correction de l'absence de vérification du pointeur dans la fonction `hda_component_manager_init`
La fonction `__component_match_add` peut attribuer à l'indicateur (pointeur) `matchptr` la valeur `ERR_PTR(-ENOMEM)`, qui sera ensuite déréférencée.
La pile d'appels menant à l'erreur se présente comme suit :
hda_component_manager_init |-> component_match_add |-> component_match_add_release |-> __component_match_add ( ... ,**matchptr, ... ) |-> *matchptr = ERR_PTR(-ENOMEM); // attribution |-> component_master_add_with_match( ... match) |-> component_match_realloc(match, match->num); // déréférencement
Ajout d'une vérification IS_ERR() pour prévenir le plantage.
Découvert par le Linux Verification Center (linuxtesting.org) avec SVACE.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.