CVE-2022-49911 in Linuxinformazioni

Riassunto

di VulDB • 20/06/2026

Nel kernel Linux, è stata risolta la seguente vulnerabilità:

netfilter: ipset: imporre il limite documentato per prevenire l'allocazione di grandi quantità di memoria

Daniel Xu ha segnalato che il tipo hash:net,iface del sottosistema ipset non limita l'aggiunta della stessa rete con interfacce diverse a un set, il che può portare a un utilizzo eccessivo della memoria o a un errore di allocazione.

Il rapido script di riproduzione è:

$ ipset create ACL.IN.ALL_PERMIT hash:net,iface hashsize 1048576 timeout 0 $ for i in $(seq 0 100); do /sbin/ipset add ACL.IN.ALL_PERMIT 0.0.0.0/0,kaf_$i timeout 0 -exist; done

Il backtrace quando vmalloc fallisce:

[Mar 25 ott 00:13:08 2022] ipset: errore vmalloc: dimensione 1073741848, supera le pagine totali
<. ..> [Mar 25 ott 00:13:08 2022] Call Trace:
[Mar 25 ott 00:13:08 2022] <TASK>
[Mar 25 ott 00:13:08 2022] dump_stack_lvl+0x48/0x60
[Mar 25 ott 00:13:08 2022] warn_alloc+0x155/0x180
[Mar 25 ott 00:13:08 2022] __vmalloc_node_range+0x72a/0x760
[Mar 25 ott 00:13:08 2022] ? hash_netiface4_add+0x7c0/0xb20
[Mar 25 ott 00:13:08 2022] ? __kmalloc_large_node+0x4a/0x90
[Mar 25 ott 00:13:08 2022] kvmalloc_node+0xa6/0xd0
[Mar 25 ott 00:13:08 2022] ? hash_netiface4_resize+0x99/0x710
<. ..>

La correzione consiste nell'imporre il limite documentato nella pagina man ipset(8):

> La restrizione interna del tipo di set hash:net,iface è che lo stesso > prefisso di rete non può essere memorizzato con più di 64 interfacce diverse > in un singolo set.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

Linux

Prenotare

01/05/2025

Divulgazione

01/05/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00152

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!