CRITICAL🇬🇧 English

CVE-2026-52924

Linux kernel SCTP: use-after-free w obsłudze Stale Cookie ERROR

CVSS 9.8pub. 2026-06-24upd. 2026-06-30

Podatność use-after-free w podsystemie SCTP jądra Linux umożliwia atakującemu wywołanie awarii systemu lub potencjalnie wykonanie dowolnego kodu. Błąd występuje podczas obsługi komunikatu Stale Cookie ERROR, gdy wskaźnik planisty strumieni wychodzących pozostaje ustawiony na zwolnioną pamięć.

Pokaż oryginał (EN)

In the Linux kernel, the following vulnerability has been resolved: sctp: purge outqueue on stale COOKIE-ECHO handling sctp_stream_update() is only invoked when the association is moved into COOKIE_WAIT during association setup/reconfiguration. In this path, the outbound stream scheduler state (stream->out_curr) is expected to be clean, since no user data should have been transmitted yet unless the state machine has already partially progressed. However, a corner case exists in sctp_sf_do_5_2_6_stale(): when a Stale Cookie ERROR is received, the association is rolled back from COOKIE_ECHOED to COOKIE_WAIT. In this scenario, user data may already have been queued and even bundled with the COOKIE-ECHO chunk. During the rollback, sctp_stream_update() frees the old stream table and installs a new one, but it does not invalidate stream->out_curr. As a result, out_curr may still point to a freed sctp_stream_out entry from the previous stream state. Later, SCTP scheduler dequeue paths (FCFS, RR, PRIO, etc.) rely on stream->out_curr->ext, which can lead to use-after-free once the old stream state has been released via sctp_stream_free(). This results in crashes such as (reported by Yuqi): BUG: KASAN: slab-use-after-free in sctp_sched_fcfs_dequeue+0x13a/0x140 Read of size 8 at addr ff1100004d4d3208 by task mini_poc/9312 CPU: 1 UID: 1001 PID: 9312 Comm: mini_poc Not tainted 7.1.0-rc1-00305-gbd3a4795d574 #5 PREEMPT(full) sctp_sched_fcfs_dequeue+0x13a/0x140 sctp_outq_flush+0x1603/0x33e0 sctp_do_sm+0x31c9/0x5d30 sctp_assoc_bh_rcv+0x392/0x6f0 sctp_inq_push+0x1db/0x270 sctp_rcv+0x138d/0x3c10 Fix this by fully purging the association outqueue when handling the Stale Cookie case. This ensures all pending transmit and retransmit state is dropped, and any scheduler cached pointers are invalidated, making it safe to rebuild stream state during COOKIE_WAIT restart. Updating only stream->out_curr would be insufficient, since queued and retransmittable data would still reference the old stream state and trigger later use-after-free in dequeue paths.

🤖 Analiza AI
Jak działa

Gdy asocjacja SCTP odbiera błąd Stale Cookie ERROR, maszyna stanów cofa stan z COOKIE_ECHOED do COOKIE_WAIT. W trakcie tego cofnięcia funkcja sctp_stream_update() zwalnia starą tablicę strumieni i instaluje nową, jednak nie unieważnia wskaźnika stream->out_curr. W efekcie out_curr nadal wskazuje na zwolniony wpis sctp_stream_out z poprzedniego stanu strumienia. Kolejne wywołania planistów kolejki wychodzących (FCFS, RR, PRIO itp.) odwołują się do stream->out_curr->ext, co prowadzi do dostępu do już zwolnionej pamięci (use-after-free) i awarii systemu.

Skutki

Atakujący może doprowadzić do awarii systemu (kernel panic / crash) poprzez błąd slab-use-after-free. Przy sprzyjających okolicznościach możliwe jest także wykonanie dowolnego kodu w kontekście jądra systemu operacyjnego.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Poprawki zostały opublikowane w repozytorium stable jądra Linux pod commitami: 1d4652f67790, 2afc9e684dc7, 3c0741a441a7, 83ade59e5da3, 84b7a319105d.

Kogo dotyczy

Jądro Linux — wersje wskazane w referencjach producenta (commity naprawcze dostępne w repozytorium stable kernel).

Uwagi

Błąd został zgłoszony przez badacza o imieniu Yuqi, co wynika bezpośrednio z opisu oryginalnego. Podatność sklasyfikowana jako CWE-825 (Expired Pointer Dereference). Podatność dotyczy wyłącznie systemów korzystających z protokołu SCTP w jądrze Linux.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje