CVE-2026-43420

Published: Mag 08, 2026 Last Modified: Mag 12, 2026

ExploitDB:

Other exploit source:

Google Dorks:

Description

AI Translation Available

In the Linux kernel, the following vulnerability has been resolved:

ceph: fix i_nlink underrun during async unlink

During async unlink, we drop the `i_nlink` counter before we receive
the completion (that will eventually update the `i_nlink`) because 'we
assume that the unlink will succeed'. That is not a bad idea, but it
races against deletions by other clients (or against the completion of
our own unlink) and can lead to an underrun which emits a WARNING like
this one:

WARNING: CPU: 85 PID: 25093 at fs/inode.c:407 drop_nlink+0x50/0x68
Modules linked in:
CPU: 85 UID: 3221252029 PID: 25093 Comm: php-cgi8.1 Not tainted 6.14.11-cm4all1-ampere #655
Hardware name: Supermicro ARS-110M-NR/R12SPD-A, BIOS 1.1b 10/17/2023
pstate: 60400009 (nZCv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--)
pc : drop_nlink+0x50/0x68
lr : ceph_unlink+0x6c4/0x720
sp : ffff80012173bc90
x29: ffff80012173bc90 x28: ffff086d0a45aaf8 x27: ffff0871d0eb5680
x26: ffff087f2a64a718 x25: 0000020000000180 x24: 0000000061c88647
x23: 0000000000000002 x22: ffff07ff9236d800 x21: 0000000000001203
x20: ffff07ff9237b000 x19: ffff088b8296afc0 x18: 00000000f3c93365
x17: 0000000000070000 x16: ffff08faffcbdfe8 x15: ffff08faffcbdfec
x14: 0000000000000000 x13: 45445f65645f3037 x12: 34385f6369706f74
x11: 0000a2653104bb20 x10: ffffd85f26d73290 x9 : ffffd85f25664f94
x8 : 00000000000000c0 x7 : 0000000000000000 x6 : 0000000000000002
x5 : 0000000000000081 x4 : 0000000000000481 x3 : 0000000000000000
x2 : 0000000000000000 x1 : 0000000000000000 x0 : ffff08727d3f91e8
Call trace:
drop_nlink+0x50/0x68 (P)
vfs_unlink+0xb0/0x2e8
do_unlinkat+0x204/0x288
__arm64_sys_unlinkat+0x3c/0x80
invoke_syscall.constprop.0+0x54/0xe8
do_el0_svc+0xa4/0xc8
el0_svc+0x18/0x58
el0t_64_sync_handler+0x104/0x130
el0t_64_sync+0x154/0x158

In ceph_unlink(), a call to ceph_mdsc_submit_request() submits the
CEPH_MDS_OP_UNLINK to the MDS, but does not wait for completion.

Meanwhile, between this call and the following drop_nlink() call, a
worker thread may process a CEPH_CAP_OP_IMPORT, CEPH_CAP_OP_GRANT or
just a CEPH_MSG_CLIENT_REPLY (the latter of which could be our own
completion). These will lead to a set_nlink() call, updating the
`i_nlink` counter to the value received from the MDS. If that new
`i_nlink` value happens to be zero, it is illegal to decrement it
further. But that is exactly what ceph_unlink() will do then.

The WARNING can be reproduced this way:

1. Force async unlink; only the async code path is affected. Having
no real clue about Ceph internals, I was unable to find out why the
MDS wouldn't give me the 'Fxr' capabilities, so I patched
get_caps_for_async_unlink() to always succeed.

(Note that the WARNING dump above was found on an unpatched kernel,
without this kludge - this is not a theoretical bug.)

2. Add a sleep call after ceph_mdsc_submit_request() so the unlink
completion gets handled by a worker thread before drop_nlink() is
called. This guarantees that the `i_nlink` is already zero before
drop_nlink() runs.

The solution is to skip the counter decrement when it is already zero,
but doing so without a lock is still racy (TOCTOU). Since
ceph_fill_inode() and handle_cap_grant() both hold the
`ceph_inode_info.i_ceph_lock` spinlock while set_nlink() runs, this
seems like the proper lock to protect the `i_nlink` updates.

I found prior art in NFS and SMB (using `inode.i_lock`) and AFS (using
`afs_vnode.cb_lock`). All three have the zero check as well.

AI Generated Translation

In kernel Linux, è stata risolta la seguente vulnerabilità:

ceph: correzione del underrun di i_nlink durante l'unlink asincrono

Durante l'unlink asincrono, si decrementa il contatore `i_nlink` prima di ricevere
la conferma (che aggiornerà infine `i_nlink`) perché "si assume che l'unlink avverrà con successo".
Non è un'idea sbagliata, ma può verificarsi una race condition con le eliminazioni da parte di altri client
(o con il completamento del nostro stesso unlink) e può portare a un underrun che genera un WARNING come questo:

In ceph_unlink(), una chiamata a ceph_mdsc_submit_request() invia la richiesta CEPH_MDS_OP_UNLINK al MDS, ma non aspetta il completamento.

Nel frattempo, tra questa chiamata e quella successiva di drop_nlink(), un thread worker può processare un CEPH_CAP_OP_IMPORT, CEPH_CAP_OP_GRANT o semplicemente un CEPH_MSG_CLIENT_REPLY (quest'ultimo potenzialmente il nostro stesso completamento). Questi eventi possono portare a una chiamata a set_nlink(), che aggiorna il contatore `i_nlink` con il valore ricevuto dal MDS. Se quel nuovo valore di `i_nlink` è zero, decrementarlo ulteriormente è illegale. Ma è esattamente quello che farà poi ceph_unlink().

Il WARNING si può riprodurre così:

1. Forzare l'unlink asincrono; solo il percorso asincrono è interessato. Non avendo conoscenze approfondite degli internals di Ceph, non sono riuscito a capire perché il MDS non fornisse le capacità "Fxr", quindi ho patchato get_caps_for_async_unlink() per farlo sempre con successo.

(Nota che il dump del WARNING sopra è stato trovato su un kernel non patchato, senza questa modifica — quindi si tratta di un bug reale, non teorico.)

2. Aggiungere una sleep() dopo ceph_mdsc_submit_request() in modo che il completamento dell'unlink venga gestito da un thread worker prima di chiamare drop_nlink(). Questo garantisce che `i_nlink` sia già zero prima che venga eseguito drop_nlink().

La soluzione è di saltare il decremento del contatore quando è già zero, ma farlo senza lock è ancora rischioso (TOCTOU). Poiché sia ceph_fill_inode() che handle_cap_grant() tengono il lock `ceph_inode_info.i_ceph_lock` mentre eseguono set_nlink(), sembra che il lock più appropriato per proteggere gli aggiornamenti di `i_nlink` sia proprio quello.

Ho trovato esempi analoghi in NFS e SMB (che usano `inode.i_lock`) e in AFS (che usa `afs_vnode.cb_lock`). Tutti e tre verificano anche se `i_nlink` è zero.