偵測

Linux Distros 未修補的弱點:CVE-2025-38496

medium Nessus Plugin ID 251305

語言:

概要

Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。

說明

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且廠商未提供可用的修補程式。

 - dm-bufio修正 atomic 內容中的 sched 如果已為 dm-verity 設定 try_verify_in_tasklet則會為 dm-bufio 啟用 DM_BUFIO_CLIENT_NO_SLEEP。但是當 bufio 嘗試收回緩衝區有機會在 spin_lock_bh 中觸發排程時會出現下列警告錯誤: sleep 函式從位於 drivers/md/dm-bufio.c:2745 in_atomic(): 1 的無效內容中呼叫、irqs_disabled()0、non_block0、pid
 123、名稱kworker/2:2 preempt_count201、 預期項目0 RCU 巢狀深度0、 預期項目0 kworker 保留的 4 個鎖定/2:2/123: #0ffff88800a2d1548 ((wq_completion)dm_bufio_cache){.... }-{0:0}, at
 process_one_work+0xe46/0x1970 #1: ffffc90000d97d20 ((work_completion)(&dm_bufio_replacement_work)){....}-{0:0}, at: process_one_work+0x763/0x1970 #2
 ffffffff8555b528 (dm_bufio_clients_lock){....}-{3:3}, at: do_global_cleanup+0x1ce/0x710 #3
 ffff88801d5820b8 (&c->spinlock){....}-{2:2} 於 do_global_cleanup+0x2a5/0x710 已停用先佔於
 [<0000000000000000>] 0x0 CPU2 UID0 PID123 Commkworker/2:2 未受污染的 6.16.0-rc3-g90548c634bd0 #305 PREEMPT(自發) 硬體名稱QEMU Standard PC (i440FX + PIIX、1996)、BIOS rel-1.16.3-0-ga6ed6b701f0a-prebuilt.qemu.org 04/01/2014 工作佇列dm_bufio_cache do_global_cleanup 呼叫追踪 <TASK> dump_stack_lvl+0x53/0x70 __might_resched+0x360/0x4e0 do_global_cleanup+0x2f5/0x710 process_one_7workerthread+x7db/0019 +0x518/0xea0 kthread+0x359/0x690 ret_from_fork+0xf3/0x1b0 ret_from_fork_asm+0x1a/0x30 </TASK> 這可由veritysetup 格式複制 --data-block-size=4096
 --hash-block-size=4096 /dev/vda /dev/vdb SIZE=$(blockdev --getsz /dev/vda) dmsetup create myverity -r
 --table 0 $SIZE verity 1 /dev/vda /dev/vdb 4096 4096 <data_blocks> 1 sha256 <root_hash> <salt> 1 try_verify_in_tasklet mount /dev/dm-0 /mnt -o ro echo 102400 > /sys/module/dm_bufio/parameters/max_cache_size_bytes [讀取 /mnt 中的檔案] (CVE-2025-38496)

請注意,Nessus 依賴供應商報告的套件存在。

解決方案

目前尚未有已知的解決方案。

另請參閱

https://security-tracker.debian.org/tracker/CVE-2025-38496

Plugin 詳細資訊

嚴重性: Medium

ID: 251305

檔案名稱: unpatched_CVE_2025_38496.nasl

版本: 1.1

類型: local

代理程式: unix

系列: Misc.

已發布: 2025/8/18

已更新: 2025/8/18

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 4.9

時間性分數: 3.6

媒介: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2025-38496

CVSS v3

風險因素: Medium

基本分數: 5.5

時間性分數: 4.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:linux, cpe:/o:debian:debian_linux:13.0

必要的 KB 項目: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

可輕鬆利用: No known exploits are available

弱點發布日期: 2025/7/28

參考資訊

CVE: CVE-2025-38496