In de Linux-kernel is een belangrijk beveiligingslek ontdekt, aangeduid als CVE-2025-38668. Deze kwetsbaarheid betrof een mogelijkheid tot NULL-pointer dereference bij het loskoppelen van een apparaat vanwege verouderde koppelingsgegevens. Dit zou tijdens runtime power management of andere regelaaroperaties kunnen optreden, wat tot een systeemcrash zou kunnen leiden.
Het probleem ontstond doordat de coupling_desc.n_coupled niet werd gereset na het vrijgeven van coupled_rdevs. Hierdoor werd toegang verleend tot ongeldige pointers, met als gevolg potentieel fatale fouten in het systeem. Vooral op systemen zoals ridesx4 leidde het loskoppelen van het ‘reg-dummy’ platformapparaat tot paniek in de functie regulator_lock_recursive(). Zorg dat n_coupled op 0 wordt gezet om deze veiligheidsrisico’s te voorkomen.
Overzicht
De getroffen componenten zijn gevonden in de volgende bestandsversie:
drivers/regulator/core.c
. De kwetsbare versies betreffen onder andere:
- Versies kleiner dan
6.1.148
- Versies kleiner dan
6.6.101
- Versies kleiner dan
6.12.41
- Versies kleiner dan
6.15.9
- Versies kleiner dan
6.16
Aanbevelingen
- Zorg dat uw systeem is geüpdatet naar een niet-kwetsbare versie zoals
6.1.148
,
6.6.101
,
6.12.41
,
6.15.9
of hoger.
- Bekijk de concrete fix commit op hier.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-38668?
Het is een kwetsbaarheid binnen de Linux-kernel die kan leiden tot systeemcrashes door ongelijke toegang tot pointers na het loskoppelen van een apparaat.
Welke systemen zijn kwetsbaar voor CVE-2025-38668?
Deze kwetsbaarheid treft Linux-kernelversies voorafgaand aan
6.1.148
,
6.6.101
,
6.12.41
, en
6.15.9
.
Bestaat er al een patch of beveiligingsupdate?
Ja, updates zijn beschikbaar en gepatched in de genoemde versies. Upgraden wordt sterk aanbevolen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan deze kwetsbaarheid misbruiken om het systeem potentieel te laten crashen, wat kan leiden tot een Denial of Service (DoS).
