CRITICAL🇬🇧 English

CVE-2026-43185

Linux kernel ksmbd: heap buffer overflow przez błąd znaku w SMB Direct

CVSS 9.8pub. 2026-05-06upd. 2026-05-11

Podatność w sterowniku ksmbd jądra Linux umożliwia zdalnym, nieuwierzytelnionym atakującym wywołanie przepełnienia bufora na stercie (heap buffer overflow) poprzez spreparowane pakiety negocjacji SMB Direct. Krytyczny poziom CVSS 9.8 wynika z pełnej dostępności sieciowej bez wymaganych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

In the Linux kernel, the following vulnerability has been resolved: ksmbd: fix signededness bug in smb_direct_prepare_negotiation() smb_direct_prepare_negotiation() casts an unsigned __u32 value from sp->max_recv_size and req->preferred_send_size to a signed int before computing min_t(int, ...). A maliciously provided preferred_send_size of 0x80000000 will return as smaller than max_recv_size, and then be used to set the maximum allowed alowed receive size for the next message. By sending a second message with a large value (>1420 bytes) the attacker can then achieve a heap buffer overflow. This fix replaces min_t(int, ...) with min_t(u32)

🤖 Analiza AI
Jak działa

Funkcja smb_direct_prepare_negotiation() nieprawidłowo rzutuje wartości bez znaku (__u32) — sp->max_recv_size oraz req->preferred_send_size — na typ ze znakiem (int) przed wywołaniem min_t(int, ...). Atakujący może przesłać pole preferred_send_size o wartości 0x80000000, która po interpretacji jako liczba ze znakiem jest traktowana jako ujemna, czyli mniejsza niż max_recv_size. Powoduje to ustawienie zbyt małego limitu maksymalnego rozmiaru odbieranej wiadomości. Następnie wysyłając drugi pakiet o rozmiarze przekraczającym 1420 bajtów, atakujący wyzwala heap buffer overflow. Poprawka zastępuje min_t(int, ...) wywołaniem min_t(u32, ...), eliminując błąd znaku.

Skutki

Atakujący może doprowadzić do heap buffer overflow w kontekście jądra systemu operacyjnego, co potencjalnie umożliwia zdalne wykonanie kodu (RCE), eskalację uprawnień (privilege escalation) lub destabilizację systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — poprawki zostały opublikowane w repozytorium stabilnych gałęzi jądra Linux (commity: 55abc475d096, 6b4f875aac34, ceae058eb707). Zaleca się aktualizację jądra do wersji zawierającej wymienione poprawki. Jako tymczasowe obejście można rozważyć wyłączenie modułu ksmbd, jeśli SMB Direct nie jest wymagany w środowisku.

Kogo dotyczy

Jądro Linux z aktywnym modułem ksmbd (obsługa protokołu SMB Direct/RDMA); wersje wskazane w referencjach producenta (commitach stabilnych gałęzi jądra)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Linux Kernel

    OS
    Linux
    7.05.15 – 6.18.16 (bez)6.19 – 6.19.6 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2022-47986CRITICAL9.8⚠ KEVten sam produkt

IBM Aspera Faspex 4.4.2 Patch Level 1 and earlier could allow a remote attacker to execute arbitrary code on t...

CVE-2022-22954CRITICAL9.8⚠ KEVten sam produkt

VMware Workspace ONE Access and Identity Manager contain a remote code execution vulnerability due to server-s...

CVE-2020-4006CRITICAL9.1⚠ KEVten sam produkt

VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector address have a...