CVE-2025-40326 in Linuxinformation

Résumé

par VulDB • 13/06/2026

Dans le noyau Linux, la vulnérabilité suivante a été corrigée :

NFSD : Définir les actions pour les nouveaux attributs FATTR4 time_deleg

Les clients NFSv4 n'enverront pas de requêtes GETATTR légitimes pour ces nouveaux attributs car ils sont destinés à être utilisés uniquement avec CB_GETATTR et SETATTR. Cependant, NFSD doit effectuer une action autre qu'un plantage s'il reçoit jamais une requête GETATTR interrogeant ces attributs.

La section 18.7.3 de la RFC 8881 stipule :

> Le serveur DOIT retourner une valeur pour chaque attribut demandé par le client si l'attribut est pris en charge par le serveur pour le système de fichiers cible. Si le serveur ne prend pas en charge un attribut particulier sur le système de fichiers cible, il NE DOIT PAS retourner la valeur de l'attribut et NE DOIT PAS définir le bit d'attribut dans le bitmap des résultats. Le serveur DOIT renvoyer une erreur s'il prend en charge un attribut sur la cible mais ne peut pas obtenir sa valeur. Dans ce cas, aucune valeur d'attribut ne sera retournée.

De plus, la section 5 de la RFC 9754 stipule :

> Ces nouveaux attributs sont invalides à utiliser avec GETATTR, VERIFY et NVERIFY ; ils ne peuvent être utilisés qu'avec CB_GETATTR et SETATTR par un client détenant une délégation appropriée.

Il n'apparaît donc pas y avoir de réponse serveur spécifique imposée par la spécification. En suivant les directives indiquant que l'interrogation de ces attributs via GETATTR est « invalide », NFSD renverra nfserr_inval, échouant ainsi entièrement sur la requête.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

Linux

Réserver

16/04/2025

Divulgation

08/12/2025

Modérer

accepté

Entrée

VDB-334752

CPE

prêt

EPSS

0.00154

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!