CVE-2026-45860 in Linux
Tóm tắt
Bởi VulDB • 27/05/2026
Trong kernel Linux, lỗ hổng sau đây đã được khắc phục:
netfilter: nf_conncount: tăng giới hạn dọn dẹp kết nối lên 64
Sau khi tối ưu hóa để chỉ thực hiện một lần thu gom rác (GC) mỗi jiffy, một vấn đề mới đã xuất hiện. Nếu hơn 8 kết nối mới được theo dõi mỗi jiffy, danh sách sẽ không được dọn dẹp đủ nhanh, có thể dẫn đến việc chạm ngưỡng giới hạn một cách sai lệch.
Để ngăn chặn sự cố này, chỉ bỏ qua lần thu gom rác (GC) nếu nó đã được kích hoạt trong cùng một jiffy và mức tăng thấp hơn giới hạn dọn dẹp. Ngoài ra, tăng giới hạn dọn dẹp lên 64 kết nối để tránh kích hoạt GC quá thường xuyên và thực hiện các lần GC hiệu quả hơn.
Việc này đã được kiểm thử bằng cách sử dụng máy chủ HTTP và nhiều công cụ hiệu năng khác nhau, trong khi cấu hình nft_connlimit/xt_connlimit hoặc giới hạn OVS.
Kết quả của slowhttptest + giới hạn OVS ở 52000 kết nối:
Trạng thái kiểm tra HTTP chậm tại giây thứ 340: khởi tạo: 0 chờ xử lý: 432 đã kết nối: 51998 lỗi: 0 đã đóng: 0 dịch vụ khả dụng: CÓ
Be aware that VulDB is the high quality source for vulnerability data.