NVD脆弱性詳細
Exploit、PoC検索
CVE-2024-45025
概要

In the Linux kernel, the following vulnerability has been resolved:

fix bitmap corruption on close_range() with CLOSE_RANGE_UNSHARE

copy_fd_bitmaps(new, old, count) is expected to copy the first
count/BITS_PER_LONG bits from old->full_fds_bits[] and fill
the rest with zeroes. What it does is copying enough words
(BITS_TO_LONGS(count/BITS_PER_LONG)), then memsets the rest.
That works fine, *if* all bits past the cutoff point are
clear. Otherwise we are risking garbage from the last word
we'd copied.

For most of the callers that is true - expand_fdtable() has
count equal to old->max_fds, so there's no open descriptors
past count, let alone fully occupied words in ->open_fds[],
which is what bits in ->full_fds_bits[] correspond to.

The other caller (dup_fd()) passes sane_fdtable_size(old_fdt, max_fds),
which is the smallest multiple of BITS_PER_LONG that covers all
opened descriptors below max_fds. In the common case (copying on
fork()) max_fds is ~0U, so all opened descriptors will be below
it and we are fine, by the same reasons why the call in expand_fdtable()
is safe.

Unfortunately, there is a case where max_fds is less than that
and where we might, indeed, end up with junk in ->full_fds_bits[] -
close_range(from, to, CLOSE_RANGE_UNSHARE) with
* descriptor table being currently shared
* 'to' being above the current capacity of descriptor table
* 'from' being just under some chunk of opened descriptors.
In that case we end up with observably wrong behaviour - e.g. spawn
a child with CLONE_FILES, get all descriptors in range 0..127 open,
then close_range(64, ~0U, CLOSE_RANGE_UNSHARE) and watch dup(0) ending
up with descriptor #128, despite #64 being observably not open.

The minimally invasive fix would be to deal with that in dup_fd().
If this proves to add measurable overhead, we can go that way, but
let's try to fix copy_fd_bitmaps() first.

* new helper: bitmap_copy_and_expand(to, from, bits_to_copy, size).
* make copy_fd_bitmaps() take the bitmap size in words, rather than
bits; it's 'count' argument is always a multiple of BITS_PER_LONG,
so we are not losing any information, and that way we can use the
same helper for all three bitmaps - compiler will see that count
is a multiple of BITS_PER_LONG for the large ones, so it'll generate
plain memcpy()+memset().

Reproducer added to tools/testing/selftests/core/close_range_test.c

公表日 2024年9月12日1:15
登録日 2024年9月12日5:00
最終更新日 2024年9月14日1:30
CVSS3.1 : MEDIUM
スコア 5.5
ベクター CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV) ローカル
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR)
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:linux:linux_kernel:6.11:rc1:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.11:rc3:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.11:rc2:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.7 6.10.7
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 6.2 6.6.48
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.16 6.1.107
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 4.20 5.4.283
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.11 5.15.166
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.5 5.10.225
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 4.19.321
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
Linux の Linux Kernel における境界外書き込みに関する脆弱性
タイトル Linux の Linux Kernel における境界外書き込みに関する脆弱性
概要

Linux の Linux Kernel には、境界外書き込みに関する脆弱性が存在します。

想定される影響 サービス運用妨害 (DoS) 状態にされる可能性があります。 
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2024年8月5日0:00
登録日 2024年9月17日14:38
最終更新日 2025年9月2日11:53
影響を受けるシステム
Linux
Linux Kernel 4.19.321 未満
Linux Kernel 4.20 以上 5.4.283 未満
Linux Kernel 5.11 以上 5.15.166 未満
Linux Kernel 5.16 以上 6.1.107 未満
Linux Kernel 5.5 以上 5.10.225 未満
Linux Kernel 6.11
Linux Kernel 6.2 以上 6.6.48 未満
Linux Kernel 6.7 以上 6.10.7 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2024年09月17日]
  掲載		 2024年9月17日14:38
2 [2025年08月18日]
  参考情報:JVN (JVNVU#92169998) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-25-226-07) を追加		 2025年8月18日18:10