Linux Distros 未修補的弱點:CVE-2025-39927
critical Nessus Plugin ID 269253
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。- ceph修正套用狀態前驗證 r_parent 的爭用情形。新增驗證確保快取的父目錄 inode 符合 MDS 回覆中的目錄資訊。這可防止用戶端爭用情形 (並行作業 (例如 rename) 造成 r_parent 在要求起始和回覆處理之間過時而導致將狀態變更套用至不正確的目錄 inode)。
[ idryomov折疊了 Alex 的 kerneldoc 修正和後續修正以在 r_parent 更新時移動 CEPH_CAP_PIN 參照。當父目錄沒有鎖定時req->r_parent 會過時並更新為指向正確的 inode。不過相關聯的 CEPH_CAP_PIN 參照並未調整。CEPH_CAP_PIN 是 inode 上的參照其出於計量目的而進行追踪。移動此針腳對於保持計量平衡非常重要。當 pin 未從舊父項移至新父項時會產生兩個問題舊的過時父項上的參照從未釋放造成參照洩漏。從未取得新父項的參照導致之後在 ceph_mdsc_release_request() 中造成參照反向溢位的風險。此修補程式在切換 r_parent 時釋出舊父項的針腳並為新父項取得針腳藉此更正邏輯。這可確保參照計量保持平衡。 ] (CVE-2025-39927)
請注意,Nessus 的判定取決於廠商所報告的套件是否存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 269253
檔案名稱: unpatched_CVE_2025_39927.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/10/7
已更新: 2025/10/7
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.5
時間性分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2025-39927
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:linux, cpe:/o:debian:debian_linux:12.0
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可輕鬆利用: No known exploits are available
弱點發布日期: 2025/10/1
參考資訊
CVE: CVE-2025-39927