CVE-2025-38110 in Linux
要約
〜によって VulDB • 2026年05月10日
Linuxカーネルにおいて、以下の脆弱性が修正されました。
net/mdiobus: クロース45(Clause 45)の読み書きアクセスにおける潜在的な配列外アクセスを修正
'mdio-tools' などの公開ツールを使用して、C45(クロース45)mdiobus経由でネットワークインターフェースおよびそのPHYからデータを読み書きする場合、ioctlに渡されるパラメータの検証が行われず、任意のmdioアドレスが受け入れられてしまいます。現在、カーネル内ではPHY_MAX_ADDR定義により32個のアドレスがサポートされていますが、ioctl経由でそれよりも高い値を渡すことが可能です。通常、この場合の読み書き操作は失敗すべきですが、mdiobusはstats配列を提供しており、不正なアドレスにより配列外読み書きが可能になる場合があります。
C45読み書き操作の前にアドレス検証を追加することで、この問題を修正します。これにより統計情報へのアクセスは除外されますが、読み書き操作のセキュリティが向上します。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.