CVE-2026-23361 Linux — эксплойт и детали уязвимости NONE

Параметр	Значение
Поставщик	Linux
Публичный эксплойт	Нет

В ядре Linux устранена следующая уязвимость: PCI: dwc: ep: Очистить запись MSI-X перед отменой записи ATU. Драйверы конечных точек используют dw_pcie_ep_raise_msix_irq() для вызова MSI-X. прерывание хоста с помощью writel(), который генерирует отправленную запись PCI транзакция. Для опубликованных записей нет завершения, поэтому writel() может вернитесь до завершения записи PCI. dw_pcie_ep_raise_msix_irq() также отменяет отображение исходящей записи ATU, используемой для записи PCI, поэтому запись ускоряется с отключением карты.

Если запись PCI проигрывает гонку с отключением ATU, запись может повредить памяти хоста или вызывать ошибки IOMMU, например, при запуске fio с большая глубина очереди по сравнению с nvmet-pci-epf: рука-smmu-v3 fc900000.iommu: 0x0000010000000010 рука-smmu-v3 fc900000.iommu: 0x0000020000000000 рука-smmu-v3 fc900000.iommu: 0x000000090000f040 рука-smmu-v3 fc900000.iommu: 0x0000000000000000 Arm-smmu-v3 fc900000.iommu: событие: F_TRANSLATION клиент: 0000:01:00.0 sid: 0x100 ssid: 0x0 iova: 0x90000f040 ipa: 0x0 Arm-smmu-v3 fc900000.iommu: unpriv data write s1 «Входной адрес вызвал ошибку» stag: 0x0 Очистите запись, выполнив readl() того же адреса, чтобы убедиться, что запись достигла пункта назначения до того, как запись ATU была отменена. Та же проблема была решена для dw_pcie_ep_raise_msi_irq() в коммите. 8719c64e76bf («PCI: dwc: ep: Сопоставление исходящего iATU кэша MSI»), но есть это было решено путем выделения исходящего iATU только для MSI. Мы не можем сделать то же самое для MSI-X, потому что каждый вектор может иметь разные msg_addr и msg_addr можно изменить, пока вектор замаскирован. [bhelgaas: журнал фиксации]

Показать оригинальное описание (EN)

In the Linux kernel, the following vulnerability has been resolved: PCI: dwc: ep: Flush MSI-X write before unmapping its ATU entry Endpoint drivers use dw_pcie_ep_raise_msix_irq() to raise an MSI-X interrupt to the host using a writel(), which generates a PCI posted write transaction. There's no completion for posted writes, so the writel() may return before the PCI write completes. dw_pcie_ep_raise_msix_irq() also unmaps the outbound ATU entry used for the PCI write, so the write races with the unmap. If the PCI write loses the race with the ATU unmap, the write may corrupt host memory or cause IOMMU errors, e.g., these when running fio with a larger queue depth against nvmet-pci-epf: arm-smmu-v3 fc900000.iommu: 0x0000010000000010 arm-smmu-v3 fc900000.iommu: 0x0000020000000000 arm-smmu-v3 fc900000.iommu: 0x000000090000f040 arm-smmu-v3 fc900000.iommu: 0x0000000000000000 arm-smmu-v3 fc900000.iommu: event: F_TRANSLATION client: 0000:01:00.0 sid: 0x100 ssid: 0x0 iova: 0x90000f040 ipa: 0x0 arm-smmu-v3 fc900000.iommu: unpriv data write s1 "Input address caused fault" stag: 0x0 Flush the write by performing a readl() of the same address to ensure that the write has reached the destination before the ATU entry is unmapped. The same problem was solved for dw_pcie_ep_raise_msi_irq() in commit 8719c64e76bf ("PCI: dwc: ep: Cache MSI outbound iATU mapping"), but there it was solved by dedicating an outbound iATU only for MSI. We can't do the same for MSI-X because each vector can have a different msg_addr and the msg_addr may be changed while the vector is masked. [bhelgaas: commit log]