一、 漏洞 CVE-2024-27397 基础信息
漏洞信息
                                        # netfilter: nf_tables: 使用时间戳检查集合元素是否超时

## 概述
Linux 内核中的 netfilter 模块存在一个漏洞,该漏洞涉及 nftables set 元素超时检查机制。通过引入时间戳字段来解决此问题,确保元素不会在控制平面事务未完成时过期。

## 影响版本
无具体版本号提供,影响 Linux 内核中的 netfilter 模块。

## 细节
- 在事务的开始处添加时间戳字段,并将其存储在 nftables 每个网络命名空间区域中。
- 更新集后端的 `.insert` 和 `.deactivate` 方法,以及同步 gc 路径,以使用时间戳。
- `.lookup` 和 `.update` 方法将持续使用当前时间来检查元素是否已过期,因为这些方法是通过数据包路径调用的。
- `.get` 路径和导出也使用当前时间,因为它们在 rcu 读取段锁下无锁运行。
- 异步 gc 也需要检查当前时间,因为它是从工作队列异步运行的。

## 影响
该漏洞可能导致 nftables 集合元素在事务未完成时错误地过期,从而可能影响网络流量的过滤和策略执行。修正方案引入的时间戳机制可以避免该问题,提升系统稳定性和安全性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
netfilter: nf_tables: use timestamp to check for set element timeout
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In the Linux kernel, the following vulnerability has been resolved: netfilter: nf_tables: use timestamp to check for set element timeout Add a timestamp field at the beginning of the transaction, store it in the nftables per-netns area. Update set backend .insert, .deactivate and sync gc path to use the timestamp, this avoids that an element expires while control plane transaction is still unfinished. .lookup and .update, which are used from packet path, still use the current time to check if the element has expired. And .get path and dump also since this runs lockless under rcu read size lock. Then, there is async gc which also needs to check the current time since it runs asynchronously from a workqueue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Linux kernel 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。 Linux kernel存在安全漏洞,该漏洞源于 netfilter 模块存在超时问题。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-27397 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-27397 的情报信息