Een recent opgelost beveiligingsprobleem in de Linux-kernel, aangeduid als CVE-2025-38261, had impact op de riscv architectuur. Het probleem deed zich voor tijdens schakelingen van threads en taken, waarbij de SR_SUM-status niet correct werd opgeslagen en hersteld, met mogelijk ernstige crashes tot gevolg, vooral onder hoge belasting.
Overzicht
Dit probleem deed zich sporadisch voor onder zware belasting, bijvoorbeeld bij gebruik van hulpmiddelen zoals syz-stress, en zorgde voor systeemcrashes met fouten zoals het onvermogen om gebruikersgeheugen te benaderen zonder de juiste routines. Dit vond plaats in de functie schedule_tail in
kernel/sched/core.c
.
Aanbevelingen
- Werk de Linux-kernel bij naar ten minste versie
6.15.5of6.16-rc1om deze kwetsbaarheid te vermijden. - Controleer of uw systemen niet draaien op een versie die wordt beïnvloed door deze specifieke bug voor riscv.
Bronnen
- Commit Details 69ea599a8dab93a620c92c255be4239a06290a77
- Commit Details 788aa64c01f1262310b4c1fb827a36df170d86ea
Vraag en Antwoord
Wat is CVE-2025-38261?
Dit is een beveiligingslek in de Linux-kernel dat verband houdt met het incorrect opslaan en herstellen van de SR_SUM-status tijdens thread-switches op riscv-architecturen.
Welke systemen zijn kwetsbaar voor CVE-2025-38261?
Systemen die een onbeveiligde versie van de Linux-kernel draaien voor 6.15.5 of 6.16-rc1 kunnen kwetsbaar zijn.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is verholpen in de Linux-kernelversies 6.15.5 en 6.16-rc1.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller zou systeemcrashes kunnen veroorzaken onder zware belasting, wat kan leiden tot het onbedoeld stopzetten van services en potentieel dataverlies.
