CVE-2022-49911 in Linuxinformação

Sumário

de VulDB • 23/05/2026

No kernel do Linux, a seguinte vulnerabilidade foi resolvida:

netfilter: ipset: impor o limite documentado para evitar a alocação de grandes quantidades de memória

Daniel Xu relatou que o tipo hash:net,iface do subsistema ipset não limita a adição da mesma rede com diferentes interfaces a um conjunto, o que pode levar a um uso excessivo de memória ou falha na alocação.

O reproduzidor rápido é:

$ ipset create ACL.IN.ALL_PERMIT hash:net,iface hashsize 1048576 timeout 0 $ for i in $(seq 0 100); do /sbin/ipset add ACL.IN.ALL_PERMIT 0.0.0.0/0,kaf_$i timeout 0 -exist; done

O backtrace quando o vmalloc falha:

[Ter Out 25 00:13:08 2022] ipset: erro de vmalloc: tamanho 1073741848, excede o total de páginas
<. ..> [Ter Out 25 00:13:08 2022] Call Trace:
[Ter Out 25 00:13:08 2022] <TASK>
[Ter Out 25 00:13:08 2022] dump_stack_lvl+0x48/0x60
[Ter Out 25 00:13:08 2022] warn_alloc+0x155/0x180
[Ter Out 25 00:13:08 2022] __vmalloc_node_range+0x72a/0x760
[Ter Out 25 00:13:08 2022] ? hash_netiface4_add+0x7c0/0xb20
[Ter Out 25 00:13:08 2022] ? __kmalloc_large_node+0x4a/0x90
[Ter Out 25 00:13:08 2022] kvmalloc_node+0xa6/0xd0
[Ter Out 25 00:13:08 2022] ? hash_netiface4_resize+0x99/0x710
<. ..>

A correção consiste em impor o limite documentado na página de manual ipset(8):

> A restrição interna do tipo de conjunto hash:net,iface é que o mesmo prefixo de rede não pode ser armazenado com mais de 64 interfaces diferentes em um único conjunto.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

Linux

Reservar

01/05/2025

Divulgação

01/05/2025

Moderação

aceite

Entrada

VDB-307033

CPE

pronto

EPSS

0.00152

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!