IM
IronMonkey Threat Research

CVE-2025-22015 MEDIUM

Published: 2025-04-08 | Last Modified: 2026-07-14 | Status: Modified

Description

In the Linux kernel, the following vulnerability has been resolved: mm/migrate: fix shmem xarray update during migration A shmem folio can be either in page cache or in swap cache, but not at the same time. Namely, once it is in swap cache, folio->mapping should be NULL, and the folio is no longer in a shmem mapping. In __folio_migrate_mapping(), to determine the number of xarray entries to update, folio_test_swapbacked() is used, but that conflates shmem in page cache case and shmem in swap cache case. It leads to xarray multi-index entry corruption, since it turns a sibling entry to a normal entry during xas_store() (see [1] for a userspace reproduction). Fix it by only using folio_test_swapcache() to determine whether xarray is storing swap cache entries or not to choose the right number of xarray entries to update. [1] https://lore.kernel.org/linux-mm/[email protected]/ Note: In __split_huge_page(), folio_test_anon() && folio_test_swapcache() is used to get swap_cache address space, but that ignores the shmem folio in swap cache case. It could lead to NULL pointer dereferencing when a in-swap-cache shmem folio is split at __xa_store(), since !folio_test_anon() is true and folio->mapping is NULL. But fortunately, its caller split_huge_page_to_list_to_order() bails out early with EBUSY when folio->mapping is NULL. So no need to take care of it here.

Additional Descriptions (1)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/migrate: arregla la actualización de xarray de shmem durante la migración un folio de shmem puede estar en la caché de página o en la caché de intercambio, pero no al mismo tiempo. Es decir, una vez que está en la caché de intercambio, folio->mapping debe ser NULL y el folio ya no está en una asignación de shmem. En __folio_migrate_mapping(), para determinar el número de entradas de xarray a actualizar, se usa folio_test_swapbacked(), pero eso combina shmem en el caso de la caché de página y shmem en el caso de la caché de intercambio. Lleva a la corrupción de entradas de múltiples índices de xarray, ya que convierte una entrada hermana en una entrada normal durante xas_store() (vea [1] para una reproducción del espacio de usuario). Arréglelo usando solo folio_test_swapcache() para determinar si xarray está almacenando entradas de caché de intercambio o no para elegir el número correcto de entradas de xarray para actualizar. [1] https://lore.kernel.org/linux-mm/[email protected]/ Nota: En __split_huge_page(), se usan folio_test_anon() y folio_test_swapcache() para obtener el espacio de direcciones de la caché de intercambio, pero esto ignora el folio shmem en el caso de la caché de intercambio. Esto podría provocar la desreferenciación de punteros nulos cuando un folio shmem en la caché de intercambio se divide en __xa_store(), ya que !folio_test_anon() es verdadero y folio->mapping es nulo. Afortunadamente, su llamador, split_huge_page_to_list_to_order(), se detiene antes de tiempo con EBUSY cuando folio->mapping es nulo. Por lo tanto, no es necesario ocuparse de ello aquí.

CVSS Metrics

Base Score: 5.5 (MEDIUM)

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Attack VectorLOCAL
Attack ComplexityLOW
Privileges RequiredLOW
User InteractionNONE
ScopeUNCHANGED
Confidentiality ImpactNONE
Integrity ImpactNONE
Availability ImpactHIGH

Source: [email protected]

Type: Primary

Exploitability Score: 1.8

Impact Score: 3.6

Weaknesses

Source Type Description
[email protected] Primary
en CWE-476

Affected Products

Vendor Product Version Update Type
linux linux_kernel * <built-in method update of dict object at 0x702b8344f9c0> Operating System
linux linux_kernel * <built-in method update of dict object at 0x702bdd67dd00> Operating System
linux linux_kernel * <built-in method update of dict object at 0x702b8052ff40> Operating System
linux linux_kernel * <built-in method update of dict object at 0x702bdd67cf40> Operating System
linux linux_kernel 6.7 <built-in method update of dict object at 0x702b8344cc80> Operating System
linux linux_kernel 6.7 <built-in method update of dict object at 0x702b8344d800> Operating System
linux linux_kernel 6.14 <built-in method update of dict object at 0x702bfc1ddbc0> Operating System
linux linux_kernel 6.14 <built-in method update of dict object at 0x702bfc335980> Operating System
linux linux_kernel 6.14 <built-in method update of dict object at 0x702bdd67ecc0> Operating System
linux linux_kernel 6.14 <built-in method update of dict object at 0x702b8344cac0> Operating System
linux linux_kernel 6.14 <built-in method update of dict object at 0x702bfc334d40> Operating System
linux linux_kernel 6.14 <built-in method update of dict object at 0x702bfc336240> Operating System
linux linux_kernel 6.14 <built-in method update of dict object at 0x702bde237640> Operating System

Affected Configurations

Operator: OR

Vulnerable CPE
Yes cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:6.7:-:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:6.7:rc8:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:6.14:rc1:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:6.14:rc2:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:6.14:rc3:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:6.14:rc4:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:6.14:rc5:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:6.14:rc6:*:*:*:*:*:*
Yes cpe:2.3:o:linux:linux_kernel:6.14:rc7:*:*:*:*:*:*

References

Notification
Message here