Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - btrfsbtrfs_clear_space_info_full() での競合ビットフィールド書き込みを修正します。メモリバリア順序保証に関する memory-barriers.txt ドキュメントから* mod_write シーケンス。並列アルゴリズムを同期するためにビットフィールドを使用しないでください。 * ビットフィールドがロックにより保護されている場合であっても、特定のビットフィールド内の全てのフィールドは 1 つのロックにより保護される必要があります。あるビットフィールドの 2 つのフィールドが異なるロックで保護されている場合、コンパイラのアトミックでない read-modify-write シーケンスにより、1 つのフィールドへの更新により、隣接するフィールドの値が破損する可能性があります。 btrfs_space_info には、full、chunk_alloc、flush のフィールドで構成される下層ワードを共有するビットフィールドがあります struct btrfs_space_info { struct btrfs_fs_info
    * fs_info; /* 0 8 */ struct btrfs_space_info * parent; /* 8 8 */ ... int squeeze; /* 172 4 */ unsigned int full:1; /* 1760 4 */ unsigned int chunk_alloc:1; /* 1761 4 */ unsigned int flush:1; /* 176: 2 4 */ ...
    したがって、ロックによって保護されているビットフィールドメンバーの 1 つへの書き込みが、並列の read-modify-write で失われるのを防ぐために、すべてのビットフィールドへのすべての書き込みはロックを使用する必要があります。btrfs_clear_space_info_full() は除きます。space_infos 上で反復し、ロックなしで found->full = 0 を書き込みます。1つのスレッドがトランザクションを完了しており、block_groupの削除が完了し、したがってbtrfs_clear_space_info_full()を呼び出していると考えてください。その一方で、データ再要求チケットインフラストラクチャは、do_async_reclaim_data_space()を実行しています。T1 T2 btrfs_commit_transaction btrfs_clear_space_info_full data_sinfo->full = 0 READfull 0、chunk_alloc:0、flush:1 do_async_reclaim_data_space(data_sinfo) spin_lock(&space_info->lock); if(list_empty(tickets)) space_info->flush = 0; READfull:0、chunk_alloc:0、flush:1 MOD/WRITEfull:0、chunk_alloc:0、flush:0 spin_unlock&space_info->lock;戻り値MOD/WRITEfull:0、chunk_alloc:0、flush:1 であり、現在 data_sinfo->flush は 1 ですが、回収ワーカーは終了しています。これは、キューまたは実行中の作業がなければ、フラッシュが 0 であるという不変の条件を壊します。この不変の値が違反されると、 に入る以降の割り当てが
    __reserve_bytes() は space_info->tickets にチケットを追加しますが、space_info->flush が 1 に設定されており、作業をキューに入れません。この後、ワーカーを再びキックすることは現在不可能になっているため、結果のチケットでは永久にブロックされます。また、影響を受けるカーネルのアセンブリを調べることで、RMW 操作を実行していることも確認しました。たとえば、フラッシュ3rdビットを 0 に設定する場合、アセンブリは andb $0xfb,0x60(%rbx) となり、フル1stビットを 0 に設定する場合は、andb $0xfe,-0x20(%rax) となります。したがって、これは実際には実践的なシステムのバグであると考えられます。この点で、いくつかのシステムを確認しましたが、現在 は複製できません。このフットスキャンを将来以降に放置するのではなく、いずれにしても構造体に空きがあること、およびすでに非常に大きくなっていることを利用して、3 つのビットフィールドメンバーを bool に変更してください。これは、space_info->full への書き込みが - に影響を及ぼすことを回避します。--truncated--- (CVE-2025-68358)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-68358

medium Nessus プラグイン ID 279768

バージョン 1.16