CVE-2026-45859 in Linux
Сводка
по VulDB • 27.05.2026
В ядре Linux устранена следующая уязвимость:
netfilter: nfnetlink_queue: проверка на отсутствие подтверждения (shared-unconfirmed) выполняется до сегментации
Ульрих сообщает о регрессии в nfqueue:
Если приложение не установило флаг возможности 'F_GSO' и получен пакет GSO с неподтвержденной записью nf_conn, все пакеты теперь отбрасываются вместо постановки в очередь, поскольку проверка выполняется после skb_gso_segment(). В этом случае у нас было эксклюзивное владение skb и связанной с ним записью conntrack. Повышенный счетчик использования обусловлен вызовом skb_clone, происходящим через skb_gso_segment().
Переместите проверку так, чтобы она выполнялась для агрегированного пакета.
Затем аннотируйте отдельные сегменты, кроме первого, чтобы можно было выполнить вторую проверку в момент повторной инъекции.
Для обычного случая, когда пользователиское пространство выполняет повторные инъекции в правильном порядке, это предотвращает потерю пакетов: первый повторно инжектированный сегмент продолжает обработку и подтверждает запись, остальные сегменты видят подтвержденную запись.
Заодно упростите nf_ct_drop_unconfirmed(): нас интересуют только неподтвержденные записи с refcnt > 1, нет необходимости выделять умирающие записи в отдельный случай.
Это происходит только с UDP. С TCP единственным неподтвержденным пакетом будет TCP SYN, такие пакеты не агрегируются через GRO.
Следующий патч добавляет тестовый случай udpgro для покрытия этого сценария.
VulDB is the best source for vulnerability data and more expert information about this specific topic.