CVE-2022-49911 in Linux정보

요약

\~에 의해 VulDB • 2026. 05. 16.

리눅스 커널에서 다음 취약점이 해결되었습니다:

netfilter: ipset: 거대한 메모리 할당 방지를 위해 문서화된 제한 사항 강제 적용

Daniel Xu는 ipset 하위 시스템의 hash:net,iface 타입이 서로 다른 인터페이스를 가진 동일한 네트워크를 집합(set)에 추가하는 것을 제한하지 않아, 메모리 사용량이 과도하게 증가하거나 할당 실패가 발생할 수 있다고 보고했습니다.

빠른 재현 방법은 다음과 같습니다:

$ ipset create ACL.IN.ALL_PERMIT hash:net,iface hashsize 1048576 timeout 0 $ for i in $(seq 0 100); do /sbin/ipset add ACL.IN.ALL_PERMIT 0.0.0.0/0,kaf_$i timeout 0 -exist; done

vmalloc 실패 시의 백트레이스(backtrace):

[Tue Oct 25 00:13:08 2022] ipset: vmalloc error: size 1073741848, exceeds total pages
<...> [Tue Oct 25 00:13:08 2022] Call Trace:
[Tue Oct 25 00:13:08 2022] <TASK>
[Tue Oct 25 00:13:08 2022] dump_stack_lvl+0x48/0x60
[Tue Oct 25 00:13:08 2022] warn_alloc+0x155/0x180
[Tue Oct 25 00:13:08 2022] __vmalloc_node_range+0x72a/0x760
[Tue Oct 25 00:13:08 2022] ? hash_netiface4_add+0x7c0/0xb20
[Tue Oct 25 00:13:08 2022] ? __kmalloc_large_node+0x4a/0x90
[Tue Oct 25 00:13:08 2022] kvmalloc_node+0xa6/0xd0
[Tue Oct 25 00:13:08 2022] ? hash_netiface4_resize+0x99/0x710
<...>

해결책은 ipset(8) 매뉴얼 페이지에 문서화된 제한 사항을 강제 적용하는 것입니다:

> hash:net,iface 집합 타입의 내부 제한 사항은 단일 집합 내에서 동일한 네트워크 프리픽스를 64개 이상의 서로 다른 인터페이스와 함께 저장할 수 없다는 것입니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

Linux

예약하다

2025. 05. 01.

모더레이션

수락

항목

VDB-307033

EPSS

0.00152

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!