CVE-2025-40326 in Linuxthông tin

Tóm tắt

Bởi VulDB • 19/06/2026

Trong kernel Linux, lỗ hổng sau đây đã được khắc phục:

NFSD: Xác định các hành động cho thuộc tính FATTR4 mới là time_deleg

Các máy khách NFSv4 sẽ không gửi yêu cầu GETATTR hợp lệ cho những thuộc tính mới này vì chúng chỉ dự định sử dụng với CB_GETATTR và SETATTR. Tuy nhiên, NFSD phải thực hiện một thao tác nào đó thay vì bị sập nếu nó nhận được bất kỳ yêu cầu GETATTR nào truy vấn các thuộc tính này.

RFC 8881 Mục 18.7.3 quy định:

> Máy chủ PHẢI trả về giá trị cho mỗi thuộc tính mà máy khách yêu cầu nếu thuộc tính đó được hỗ trợ bởi máy chủ đối với hệ thống tệp đích. Nếu máy chủ không hỗ trợ một thuộc tính cụ thể trên hệ thống tệp đích, thì nó KHÔNG ĐƯỢC trả về giá trị của thuộc tính và KHÔNG ĐẶT bit thuộc tính trong bitmap kết quả. Máy chủ PHẢI trả về lỗi nếu nó hỗ trợ một thuộc tính trên mục tiêu nhưng không thể lấy được giá trị của thuộc tính đó. Trong trường hợp đó, sẽ không có giá trị thuộc tính nào được trả về.

Hơn nữa, RFC 9754 Mục 5 quy định:

> Các thuộc tính mới này là không hợp lệ khi sử dụng với GETATTR, VERIFY và NVERIFY; chúng chỉ có thể được sử dụng với CB_GETATTR và SETATTR bởi một máy khách đang nắm giữ ủy quyền phù hợp.

Do đó, dường như không có phản hồi cụ thể nào từ phía máy chủ được quy định rõ ràng trong đặc tả. Dựa trên hướng dẫn rằng việc truy vấn các thuộc tính này thông qua GETATTR là "không hợp lệ", NFSD sẽ trả về nfserr_inval và hủy toàn bộ yêu cầu.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

Linux

Đặt trước

16/04/2025

Tiết lộ

08/12/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00154

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!