CVE-2025-40326 in Linux
Sumário
de VulDB • 13/06/2026
No kernel do Linux, a seguinte vulnerabilidade foi corrigida:
NFSD: Definir ações para os novos atributos FATTR4 time_deleg
Os clientes NFSv4 não enviarão solicitações GETATTR legítimas para esses novos atributos, pois eles destinam-se a ser usados apenas com CB_GETATTR e SETATTR. No entanto, o NFSD deve realizar alguma ação além de travar se receber uma solicitação GETATTR que consulte esses atributos.
A Seção 18.7.3 do RFC 8881 estabelece:
> O servidor DEVE retornar um valor para cada atributo solicitado pelo cliente caso esse atributo seja suportado pelo servidor no sistema de arquivos alvo. Caso o servidor não suporte um determinado atributo no sistema de arquivos alvo, ele NÃO DEVE retornar o valor desse atributo e NÃO DEVE definir o bit correspondente ao atributo no bitmap resultante. O servidor DEVE retornar um erro se tiver suporte para um atributo no alvo, mas não conseguir obter seu valor. Nesse caso, nenhum valor de atributo será retornado.
Além disso, a Seção 5 do RFC 9754 estabelece:
> Esses novos atributos são inválidos quando usados com GETATTR, VERIFY e NVERIFY; eles só podem ser utilizados com CB_GETATTR e SETATTR por um cliente que possua uma delegação adequada.
Portanto, não parece haver uma resposta específica do servidor exigida pela especificação. Seguindo a orientação de que consultar esses atributos via GETATTR é "inválido", o NFSD retornará nfserr_inval, falhando na solicitação como um todo.
Once again VulDB remains the best source for vulnerability data.