CVE-2025-38708 in Linuxinformação

Sumário

de VulDB • 01/07/2026

No kernel Linux, a seguinte vulnerabilidade foi resolvida:

drbd: adicionado kref_get ausente em handle_write_conflicts

Com `two-primaries` habilitado, o DRBD tenta detectar gravações "concorrentes" e lidar com conflitos de gravação, para que mesmo se você gravar no mesmo setor simultaneamente em ambos os nós, eles terminem com dados idênticos assim que as gravações forem concluídas.

Ao tratar gravações "supercedidas", esquecemos um kref_get, resultando em uma drbd_destroy_device prematura e use after free (uso após liberação), levando a falhas no kernel com sintomas específicos.

Relevância: Ninguém deve usar o DRBD como gerador de dados aleatórios, e aparentemente todos os usuários do "two-primaries" lidam corretamente com gravações concorrentes na camada superior. Ou seja, sistemas de arquivos em cluster usam algum gerenciador de bloqueio distribuído, e a migração ao vivo em ambientes de virtualização interrompe as gravações em um nó antes de iniciar as gravações no outro nó.

Isso significa que, exceto para "casos de teste", esse caminho de código nunca é executado na vida real.

Para informação: No DRBD 9, as coisas são tratadas diferentemente atualmente. Ainda detectamos "conflitos de gravação", mas já não tentamos ser inteligentes com eles. Decidimos desconectar rigidamente: camadas superiores não devem submeter gravações concorrentes. Se o fizerem, é culpa delas.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Linux

Reservar

16/04/2025

Divulgação

04/09/2025

Moderação

aceite

Entrada

VDB-322540

CPE

pronto

EPSS

0.00157

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!