Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - wifibrcmfmacbrcmf_btcoex_info 作業を再スケジュールする際の use-after-free を修正します brcmf_btcoex_detach() は、timer_on フラグが false の場合、btcoex タイマーのみをシャットダウンします。しかし、タイマーハンドラーとして実行する brcmf_btcoex_timerfunc() は、timer_on を false に設定します。これにより、重大な競合状態が発生します。1.brcmf_btcoex_timerfunc()の実行中にbrcmf_btcoex_detach()が呼び出された場合、timer_onをfalseとして観察し、timer_shutdown_sync()への呼び出しをスキップする可能性があります。 2.brcmf_btcoex_timerfunc() は、cancel_work_sync() が実行された後に brcmf_btcoex_info ワーカーを再スケジュールし、use-after-free バグを生じさせる可能性があります。
    ワーカースレッドの実行に対して brcmf_btcoex_info 構造体が解放されるタイミングにより、2 つの異なるシナリオで use-after-free バグが発生します。シナリオ1ワーカーがスケジュールされる前に解放されます。brcmf_btcoex_infoは、ワーカーがスケジュールされる前に割り当て解除されます。ターゲットメモリが解放された後に schedule_work(&bt_local->work) が呼び出されたときに、競合状態が発生する可能性があります。
    イベントのシーケンスは以下に詳述されていますCPU0 | CPU1 brcmf_btcoex_detach | brcmf_btcoex_timerfunc | bt_local->timer_on = false; if (cfg->btcoex->timer_on) | わかりました。 ... | ance_work_sync(); | ... | kfree(cfg->btcoex); // FREE | | schedule_work(&bt_local->work); // USE シナリオ 2: ワーカーがスケジュールされた後に解放されます。brcmf_btcoex_info は、ワーカーがスケジュールされた後、その実行前または実行中に解放されます。この場合、container_ofマクロなどのbrcmf_btcoex_handler()内のステートメントや、brcmf_btcoex_infoオブジェクトのそれに続くデリファレンスは、メモリ解放後使用Use After Freeアクセスを引き起こします。次のタイムラインはこのシナリオを示しています。CPU0 | CPU1 brcmf_btcoex_detach | brcmf_btcoex_timerfunc | bt_local->timer_on = false; if (cfg->btcoex->timer_on) | わかりました。 ... | ance_work_sync(); | ... | schedule_work(); // Reschedule | kfree(cfg->btcoex); // FREE | brcmf_btcoex_handler() // Worker /* | btci = container_of(....); // USE 上記の kfree() により、可能性があります | ... 任意のポイントでも発生します | btci-> // ワーカーの実行中の USE| */ |競合状態を解決するには、条件チェックをドロップし、timer_shutdown_sync() を直接呼び出します。現在の状態に関係なく、タイマーを確実に無効化できます。
    停止されると、timer_on 状態は false に設定されます。 (CVE-2025-39863)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-39863

high Nessus プラグイン ID 265463

バージョン 1.3