Een kritieke kwetsbaarheid in de Linux-kernel met CVE-2025-38255 kan ertoe leiden dat een NULL pointer dereference plaatsvindt in group_cpus_evenly(). Deze fout ontstond bij de interactie met null_blk en configfs en kon resulteren in een kernelpanic.
Bijzonder gevaarlijk omdat een aanvaller mogelijk het systeem kan doen crashen, wat serieuze complicaties oplevert voor de betrouwbaarheid van uw infrastructuur. Dit probleem is inmiddels hersteld dankzij een patch die door de Linux-community is uitgebracht.
Overzicht
De kwetsbaarheid bevindt zich in een niet-gepatchte versie van het group_cpus()-protocol waar, bij verkeerd gebruik, de returnwaarde van kcalloc() kan leiden tot een ZERO_SIZE_PTR. Dit leidt bij dereferencing tot ernstige fouten.
lib/group_cpus.c
Aanbevelingen
- Werk uw Linux-kernels bij naar de laatste stabiele versies, te beginnen met versies hoger dan
6.15.* - Zorg ervoor dat uw systemen draaien op een kernelversie
6.16-rc4of nieuwer om de kwetsbaarheid definitief tegen te gaan. - Raadpleeg uw systeembeheerder om deze updates zo snel mogelijk door te voeren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-38255?
Het is een beveiligingslek in de Linux-kernel waarin bij onjuiste verwerking van gegevens door group_cpus_evenly() een kernelpanic kan optreden.
Welke systemen zijn kwetsbaar voor CVE-2025-38255?
Linux-kernels tussen de versies 6.3 en 6.16-rc4 zijn kwetsbaar. Het wordt sterk aanbevolen om naar nieuwere versies te upgraden.
Bestaat er al een patch of beveiligingsupdate?
Zeker, patches zijn al beschikbaar en de juiste updates zijn uitgebracht voor stabiele Linux-kernelversies.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan een mogelijke kernelpanic veroorzaken, wat kan leiden tot een systeemcrash of verstoring van de diensten waarop gebruikers vertrouwen.
