CVE-2026-43050

Published: Mag 01, 2026 Last Modified: Mag 01, 2026

ExploitDB:

Other exploit source:

Google Dorks:

Description

AI Translation Available

In the Linux kernel, the following vulnerability has been resolved:

atm: lec: fix use-after-free in sock_def_readable()

A race condition exists between lec_atm_close() setting priv->lecd
to NULL and concurrent access to priv->lecd in send_to_lecd(),
lec_handle_bridge(), and lec_atm_send(). When the socket is freed
via RCU while another thread is still using it, a use-after-free
occurs in sock_def_readable() when accessing the socket's wait queue.

The root cause is that lec_atm_close() clears priv->lecd without
any synchronization, while callers dereference priv->lecd without
any protection against concurrent teardown.

Fix this by converting priv->lecd to an RCU-protected pointer:
- Mark priv->lecd as __rcu in lec.h
- Use rcu_assign_pointer() in lec_atm_close() and lecd_attach()
for safe pointer assignment
- Use rcu_access_pointer() for NULL checks that do not dereference
the pointer in lec_start_xmit(), lec_push(), send_to_lecd() and
lecd_attach()
- Use rcu_read_lock/rcu_dereference/rcu_read_unlock in send_to_lecd(),
lec_handle_bridge() and lec_atm_send() to safely access lecd
- Use rcu_assign_pointer() followed by synchronize_rcu() in
lec_atm_close() to ensure all readers have completed before
proceeding. This is safe since lec_atm_close() is called from
vcc_release() which holds lock_sock(), a sleeping lock.
- Remove the manual sk_receive_queue drain from lec_atm_close()
since vcc_destroy_socket() already drains it after lec_atm_close()
returns.

v2: Switch from spinlock + sock_hold/put approach to RCU to properly
fix the race. The v1 spinlock approach had two issues pointed out
by Eric Dumazet:
1. priv->lecd was still accessed directly after releasing the
lock instead of using a local copy.
2. The spinlock did not prevent packets being queued after
lec_atm_close() drains sk_receive_queue since timer and
workqueue paths bypass netif_stop_queue().

Note: Syzbot patch testing was attempted but the test VM terminated
unexpectedly with 'Connection to localhost closed by remote host',
likely due to a QEMU AHCI emulation issue unrelated to this fix.
Compile testing with 'make W=1 net/atm/lec.o' passes cleanly.

AI Generated Translation

Nel kernel Linux, è stata risolta la seguente vulnerabilità:

atm: lec: correzione use-after-free in sock_def_readable()

Esiste una condizione di race tra lec_atm_close() che imposta priv->lecd a NULL e l'accesso concorrente a priv->lecd in send_to_lecd(), lec_handle_bridge() e lec_atm_send(). Quando la socket viene liberata tramite RCU mentre un altro thread la sta ancora utilizzando, si verifica un use-after-free in sock_def_readable() durante l'accesso alla wait queue della socket.

La causa principale risiede nel fatto che lec_atm_close() azzera priv->lecd senza alcuna sincronizzazione, mentre i chiamanti dereferenzano priv->lecd senza alcuna protezione contro la teardown concorrente.

Per risolvere il problema, si è convertito priv->lecd in un puntatore protetto da RCU:
- Si è contrassegnato priv->lecd come __rcu in lec.h
- Si è utilizzata rcu_assign_pointer() in lec_atm_close() e lecd_attach() per assegnamenti sicuri del puntatore
- Si è impiegato rcu_access_pointer() per i controlli NULL che non dereferenzano il puntatore in lec_start_xmit(), lec_push(), send_to_lecd() e lecd_attach()
- Si sono utilizzate rcu_read_lock()/rcu_dereference()/rcu_read_unlock() in send_to_lecd(), lec_handle_bridge() e lec_atm_send() per accedere in modo sicuro a lecd
- Si è impiegata rcu_assign_pointer() seguita da synchronize_rcu() in lec_atm_close() per garantire che tutti i lettori abbiano terminato prima di procedere. Questo è sicuro poiché lec_atm_close() viene chiamato da vcc_release(), che detiene lock_sock(), un lock che può dormire.
- Si è rimosso il drain manuale della sk_receive_queue da lec_atm_close(), poiché vcc_destroy_socket() già lo esegue dopo che lec_atm_close() termina.

v2: È stato sostituito l’approccio con spinlock + sock_hold/put con l’uso di RCU per correggere correttamente la race. L’approccio con spinlock della versione 1 presentava due problemi evidenziati da Eric Dumazet:
1. priv->lecd veniva ancora accessato direttamente dopo il rilascio del lock invece di usare una copia locale.
2. Lo spinlock non impediva l’accodamento di pacchetti dopo che lec_atm_close() aveva svuotato sk_receive_queue, poiché i percorsi timer e workqueue bypassavano netif_stop_queue().

Nota: È stato tentato il testing con patch Syzbot, ma la VM di test si è terminata in modo imprevisto con "Connection to localhost closed by remote host", probabilmente a causa di un problema di emulazione QEMU AHCI non correlato a questa correzione. Il testing di compilazione con "make W=1 net/atm/lec.o" è passato senza errori.