偵測

Linux Distros 未修補的弱點:CVE-2025-38440

medium Nessus Plugin ID 246888

語言:

概要

Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。

說明

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。

 - net/mlx5e修正 DIM 停用和 net_dim() 之間的爭用。使用 RQ 或 SQ 上的暗淡指標停用 DIM 和 NAPI 回呼之間存在爭用。如果 NAPI 檢查 DIM 狀態位元且發現其仍設定則假設 `rq->dim` 或 `sq->dim` 有效。但如果 DIM 在檢查後立即停用該指標可能已設定為 NULL導致 net_dim() 中發生 NULL 指標解除參照。藉由在釋放 DIM 內容前呼叫 `synchronize_net()` 來修正此問題。如此可確保在指標遭到清除前完成所有進行中的 NAPI 回呼。核心記錄錯誤核心 NULL 指標解除參照位址
 0000000000000000 ... RIP: 0010:net_dim+0x23/0x190 ... 呼叫追踪 <TASK> ? __die+0x20/0x60 ? page_fault_oops+0x150/0x3e0 common_interrupt+0xf/0xa0 sysvec_call_function_single+0xb/0x90 ? exc_page_fault+0x74/0x130 ? asm_exc_page_fault+0x22/0x30 ? net_dim+0x23/0x190 ? mlx5e_poll_ico_cq+0x41/0x6f0 [mlx5_core] sysvec_apic_timer_interrupt+0xb/0x90 mlx5e_handle_rx_dim+0x92/0xd0 [mlx5_core] mlx5e_napi_poll+0x2cd/0xac0 [mlx5_core] mlx5e_poll_ico_cq+0xe5/0x6f0 [mlx5_core] busy_poll_stop+0xa2/0x200 mlx5e_napi_poll+0x1d9/0xac0 [mlx5_core] mlx5e_trigger_irq+0x130/0x130 [mlx5_core] __napi_busy_loop+0x345/0x3b0 sysvec_call_function_single+0xb/0x90 ? asm_sysvec_call_function_single+0x16/0x20 ? sysvec_apic_timer_interrupt+0xb/0x90 pcpu_free_area+0x1e4/0x2e0 napi_busy_loop+0x11/0x20 xsk_recvmsg+0x10c/0x130 sock_recvmsg+0x44/0x70 __sys_recvfrom+0xbc/0x130 __schedule+0x398/0x890
 __x64_sys_recvfrom+0x20/0x30 do_syscall_64+0x4c/0x100 entry_SYSCALL_64_after_hwframe+0x4b/0x53 ... ---[結束追踪 0000000000000000 ]--- ... ---[結束核心錯誤 - 未同步:中斷中出現嚴重的例外狀況 ]-- - (CVE-2025-38440)

請注意,Nessus 依賴供應商報告的套件存在。

解決方案

目前尚未有已知的解決方案。

另請參閱

https://security-tracker.debian.org/tracker/CVE-2025-38440

Plugin 詳細資訊

嚴重性: Medium

ID: 246888

檔案名稱: unpatched_CVE_2025_38440.nasl

版本: 1.1

類型: local

代理程式: unix

系列: Misc.

已發布: 2025/8/9

已更新: 2025/8/9

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 4.7

時間性分數: 3.5

媒介: CVSS2#AV:L/AC:M/Au:N/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2025-38440

CVSS v3

風險因素: Medium

基本分數: 5.5

時間性分數: 4.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:linux, cpe:/o:debian:debian_linux:13.0

必要的 KB 項目: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

可輕鬆利用: No known exploits are available

弱點發布日期: 2025/7/25

參考資訊

CVE: CVE-2025-38440