ftrace: Los UAF-probleem op bij kallsyms na ftrace uitschakeling

Huurhacker juli 10, 2025

Er is een beveiligingslek ontdekt in de Linux-kernel, aangeduid als CVE-2025-38346. Dit lek houdt in dat een module een probleem kan veroorzaken met ftrace, wat leidt tot een use-after-free (UAF) kwetsbaarheid. Hierdoor kan een aanvaller potentieel toegang verkrijgen tot systeemgeheugen dat al was vrijgegeven, wat risico’s met zich meebrengt voor de integriteit en veiligheid van uw systeem.

Overzicht

Het probleem treedt op wanneer een module een issue triggert met ftrace en ftrace_disable wordt ingesteld. Dit gebeurt meestal met defecte modules, zoals gedocumenteerd in een rapport van het systeem onder bepaalde operationele omstandigheden.

Een module die een probleem triggert, kan ertoe leiden dat ftrace zijn werk stopt. Dit kan problematisch zijn wanneer daarna op /proc/kallsyms wordt gereageerd, aangezien dit restgeheugen kan aanspreken van een inmiddels niet meer aanwezige module.

Aanbevelingen

Update uw Linux-kernel naar een versie die niet kwetsbaar is. Versies minder dan 5.4.295 of 6.16-rc1 zijn veilig geacht.
Voor kwetsbare systemen, controleer regelmatiger op foutmeldingen binnen uw modules en zorg voor beveiligingsupdates.

Bronnen

Vraag en Antwoord

Wat is CVE-2025-38346?

CVE-2025-38346 beschrijft een kwetsbaarheid in de Linux-kernel waarbij een use-after-free kan optreden bij het gebruik van ftrace in combinatie met defecte modules.

Welke systemen zijn kwetsbaar voor CVE-2025-38346?

Versies van de Linux-kernel vanaf 4.15 tot bepaalde subversies van 5.4.X, 5.10.X, 5.15.X, 6.1.X, 6.6.X, 6.12.X, 6.15.X zijn kwetsbaar.

Bestaat er al een patch of beveiligingsupdate?

Ja, verschillende patches zijn beschikbaar in de nieuwste kernelreleases zoals te zien in de bronvermeldingen.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan toegang krijgen tot systeemgeheugen dat al vrijgegeven had moeten zijn, wat kan leiden tot ongeautoriseerde toegang en mogelijke systeemcompromittatie.