検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-39911

critical Nessus プラグイン ID 269656

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - i40ei40e_vsi_request_irq_msix エラーパスの IRQ 解放を修正します。i40e_vsi_request_irq_msix() の request_irq() が最初の反復以降、失敗する場合、エラーパスは今までにリクエストされた IRQ を解放する必要があります。しかし、free_irq() に対して間違った dev_id 引数を使用するため、IRQ が適切に解放されず、代わりに警告が発生しますすでに解放された IRQ 173 を解放しようとします警告CPU25 PID
 1091 at kernel/irq/manage.c:1829 __free_irq+0x192/0x2c0 リンクされているモジュールi40e(+) [...] CPU25 UID0 PID1091 通信1091 通信NetworkManager が汚染されていない 6.17.0-rc1+ #1 PREEMPT(lazy) ハードウェア名[...] RIP
 0010:__free_irq+0x192/0x2c0 [...] Call Trace: <TASK> free_irq+0x32/0x70 i40e_vsi_request_irq_msix.cold+0x63/0x8b [i40e] i40e_vsi_request_irq+0x79/0x80 [i40e] i40e_vsi_open+0x21f/i40e_fopen+0x21f/i40e_vsi_open+0x21f/0x21f/ 0x63/0x130 [i40e] __dev_open+0xfc/0x210
 __dev_change_flags+0x1fc/0x240 netif_change_flags+0x27/0x70 do_setlink.isra.0+0x341/0xc70 rtnl_newlink+0x468/0x860 rtnetlink_rcv_msg+0x375/0x450 netlink_rcv_skb+0x5c/0x110 netlink_unicast+0x288/0x3c0 netlink_sendmsg+0x20d/0x430 ____sys_sendmsg+0x3a2/0x3d0
 __sys_sendmsg+0x99/0xe0 __sys_sendmsg+0x8a/0xf0 do_syscall_64+0x82/0x2c0 entry_SYSCALL_64_after_hwframe+0x76/0x7e [...] </TASK> ---[ 終了トレース 0000000000000000 ]--- request_irq() と同じ dev_id を使用します。意図的に失敗するように、コードを挿入してこれをテストしました。
 (CVE-2025-39911)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://security-tracker.debian.org/tracker/CVE-2025-39911

プラグインの詳細

深刻度: Critical

ID: 269656

ファイル名: unpatched_CVE_2025_39911.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2025/10/8

更新日: 2025/10/8

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2025-39911

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2025/10/1

参照情報

CVE: CVE-2025-39911