Een kritiek lek in de Linux kernel kan leiden tot onverwachte fouten bij virtuele machines die draaien op KVM met Hyper-V hypercalls ingeschakeld. Deze kwetsbaarheid, bekend als CVE-2025-38351, heeft te maken met onveilig beheer van niet-canonieke adreslijsten tijdens het uitvoeren van PV TLB flushes.
Dit probleem treft vooral systemen met Linux kernels in de versies tussen 6.2 en 6.15.7, en 6.2 tot net voor 6.16-rc6. Beheerders dienen alert te zijn omdat een aanvaller potentieel de virtuele geheugenkaart (TLB) kan verstoren, waardoor mogelijk ongeautoriseerd toegang kan worden verkregen tot geheugenruimtes die normaal veilig zouden moeten zijn.
Overzicht
In KVM gasten met Hyper-V hypercalls werd een kwetsbaarheid geïdentificeerd waarbij niet-canonieke GVAs niet correct worden gefilterd. Dit kan leiden tot een VM-Fail op Intel-processors bij het uitvoeren van de INVVPID instructie.
Aanbevelingen
- Beoogde systemen dienen geupgraded te worden naar Linux kernel versies
6.15.7of later, of naar6.16-rc6en hoger. - Nadere inspectie van systeemconfiguraties wordt aangeraden om te controleren of de specifieke betrokken Hyper-V functionaliteiten ingeschakeld zijn.
- Monitor updates vanuit de Linux kernel repositories via de officiële Linux kernel git repository.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-38351?
Dit is een kwetsbaarheid in de Linux kernel die de KVM hypervisor treft wanneer Hyper-V hypercalls ingeschakeld zijn.
Welke systemen zijn kwetsbaar voor CVE-2025-38351?
Systemen met de Linux kernel versies vanaf 6.2 tot 6.15.7 en 6.2 tot net voor 6.16-rc6.
Bestaat er al een patch of beveiligingsupdate?
Ja, patches zijn beschikbaar en te vinden in de Linux kernel git repository.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk fouten veroorzaken die invloed hebben op de TLB van een virtuele machine, wat kan leiden tot toegang tot delen van het systeemgeheugen.
