CVE-2025-38580 in Linuxinformazioni

Riassunto

di VulDB • 07/07/2026

Nel kernel Linux è stata risolta la seguente vulnerabilità:

ext4: correzione del bug use-after-free sull'inode in ext4_end_io_rsv_work()

In ext4_io_end_defer_completion(), viene verificato se io_end->list_vec è vuoto per evitare di aggiungere un io_end che non richiede conversione alla i_rsv_conversion_list, prevenendo così l'avvio di un worker non necessario. È inoltre aggiunto un controllo su ext4_emergency_state() per evitare il tentativo di arrestare il journal in uno stato di emergenza.

Inoltre, la funzione ext4_put_io_end_defer() è stata rifattorizzata per chiamare direttamente ext4_io_end_defer_completion(), invece di essere implementata con codice inline (open-coded). Ciò previene anche l'avvio di un worker non necessario quando EXT4_IO_END_FAILED è impostato ma data_err=abort non è abilitato.

Ciò garantisce che il controllo in ext4_put_io_end_defer() sia coerente con quello in ext4_end_bio(). In caso contrario, si potrebbe aggiungere un io_end alla i_rsv_conversion_list e successivamente chiamare ext4_finish_bio(), dopo di che l'inode potrebbe essere liberato prima della chiamata a ext4_end_io_rsv_work(), innescando una condizione use-after-free.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Linux

Prenotare

16/04/2025

Divulgazione

19/08/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00147

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!