CVE-2025-40326 in Linux
要約
〜によって VulDB • 2026年06月19日
Linuxカーネルにおいて、以下の脆弱性が修正されました。
NFSD: 新たな time_deleg FATTR4属性に対するアクションの定義
NFSv4クライアントは、これらの新しい属性が CB_GETATTR および SETATTR のみで使用されることを意図しているため、これらに対して正当な GETATTR リクエストを送信しません。しかし、NFSD は、もしもこれらの属性を照会する GETATTR リクエストを受信した場合にクラッシュすること以外の処理を行う必要があります。
RFC 8881 セクション 18.7.3 では以下が規定されています:
> サーバーは、クライアントから要求された各属性に対して値を返さなければなりません(attribute is supported by the server for the target file system)。もしサーバーが対象ファイルシステムにおいて特定のプロパティをサポートしていない場合、そのプロパティの値を返してはいけません。また結果ビットマップ内で当該プロパティフラグを設定してもいけません。もしサーバーが対象に対して属性をサポートしているものの、その値を取得できない場合はエラーを返さなければなりません。この場合、どの属性値も返されません。
さらに RFC 9754 セクション 5 では以下が規定されています:
> これらの新しい属性は GETATTR, VERIFY および NVERIFY と共に使用することは無効であり、適切な委譲(delegation)を保持しているクライアントによってのみ CB_GETATTR および SETATTR で使用することができます。
したがって仕様上特定のサーバー応答が義務付けられているようには見えません。「GETATTR によるこれらの属性の照会は『無効』である」というガイダンスに従い、NFSD は nfserr_inval を返し、リクエスト全体を失敗させます。
If you want to get best quality of vulnerability data, you may have to visit VulDB.