anonhaven

CVE-2026-23067

MEDIUM CVSS 3.1: 5,5 EPSS 0.02%
Обновлено 13 марта 2026
Linux
Параметр Значение
CVSS 5,5 (MEDIUM)
Уязвимые версии 6.16 — 6.18.8
Устранено в версии 6.18.8
Тип уязвимости CWE-617
Поставщик Linux
Публичный эксплойт Нет

В ядре Linux устранена следующая уязвимость: iommu/io-pgtable-arm: исправлена ошибка подписи size_t в пути неотображения __arm_lpae_unmap() возвращает size_t, но возвращает -ENOENT (отрицательный результат). код ошибки) при обнаружении несопоставленного PTE. Поскольку size_t не имеет знака, -ENOENT (обычно -2) становится огромным положительным значением (0xFFFFFFFFFFFFFFFE в 64-битных системах). Это поврежденное значение распространяется по цепочке вызовов: __arm_lpae_unmap() возвращает -ENOENT как size_t ->arm_lpae_unmap_pages() возвращает его. -> __iommu_unmap() добавляет его по адресу iova -> iommu_pgsize() вызывает BUG_ON из-за поврежденного iova Это может привести к переполнению адреса IOVA в цикле __iommu_unmap() и вызвать BUG_ON в iommu_pgsize() из-за неправильного выравнивания адреса.

Исправьте это, вернув 0 вместо -ENOENT. WARN_ON уже сигнализирует состояние ошибки и возврат 0 (что означает «ничего несопоставленного») является правильной семантикой для возвращаемого типа size_t. Это соответствует поведение других реализаций io-pgtable (io-pgtable-arm-v7s, io-pgtable-dart), которые возвращают 0 в случае ошибки.

Показать оригинальное описание (EN)

In the Linux kernel, the following vulnerability has been resolved: iommu/io-pgtable-arm: fix size_t signedness bug in unmap path __arm_lpae_unmap() returns size_t but was returning -ENOENT (negative error code) when encountering an unmapped PTE. Since size_t is unsigned, -ENOENT (typically -2) becomes a huge positive value (0xFFFFFFFFFFFFFFFE on 64-bit systems). This corrupted value propagates through the call chain: __arm_lpae_unmap() returns -ENOENT as size_t -> arm_lpae_unmap_pages() returns it -> __iommu_unmap() adds it to iova address -> iommu_pgsize() triggers BUG_ON due to corrupted iova This can cause IOVA address overflow in __iommu_unmap() loop and trigger BUG_ON in iommu_pgsize() from invalid address alignment. Fix by returning 0 instead of -ENOENT. The WARN_ON already signals the error condition, and returning 0 (meaning "nothing unmapped") is the correct semantic for size_t return type. This matches the behavior of other io-pgtable implementations (io-pgtable-arm-v7s, io-pgtable-dart) which return 0 on error conditions.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-617

Уязвимые продукты 7

Конфигурация От (включительно) До (исключительно)
Linux Linux_Kernel
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
 6.16 6.18.8
Linux Linux_Kernel
cpe:2.3:o:linux:linux_kernel:6.19:rc1:*:*:*:*:*:*
Linux Linux_Kernel
cpe:2.3:o:linux:linux_kernel:6.19:rc2:*:*:*:*:*:*
Linux Linux_Kernel
cpe:2.3:o:linux:linux_kernel:6.19:rc3:*:*:*:*:*:*
Linux Linux_Kernel
cpe:2.3:o:linux:linux_kernel:6.19:rc4:*:*:*:*:*:*
Linux Linux_Kernel
cpe:2.3:o:linux:linux_kernel:6.19:rc5:*:*:*:*:*:*
Linux Linux_Kernel
cpe:2.3:o:linux:linux_kernel:6.19:rc6:*:*:*:*:*:*

Ссылки 2

https://git.kernel.org/stable/c/374e7af67d9d9d6103c2cfc8eb32abfecf3a2fd8
416baaa9-dc9f-4396-8d5f-8c081fb06d67
https://git.kernel.org/stable/c/41ec6988547819756fb65e94fc24f3e0dddf84ac
416baaa9-dc9f-4396-8d5f-8c081fb06d67
Share Post Share Share Share

Связанные уязвимости

CVE-2026-23278

Linux

None

CVE-2026-23277

Linux

None

CVE-2026-23276

Linux

None

CVE-2026-23275

Linux

None

CVE-2026-23274

Linux

None