一、 漏洞 CVE-2025-71129 基础信息
漏洞信息
# 龙芯BPF:扩展kfunc调用参数符号位漏洞
## 概述
LoongArch架构下BPF中kfunc调用参数未正确进行符号扩展,可能导致内核崩溃。通过引入新的`emit_abi_ext()`辅助函数,按照LoongArch调用约定对参数进行现场符号扩展,修复该问题。
## 影响版本
无明确列出受影响的版本,涉及Linux内核中LoongArch架构的BPF子系统。
## 细节
- kfunc调用属于原生调用,必须遵循LoongArch的调用约定。
- 原有`sign_extend()`辅助函数无法满足现场扩展需求,因其行为与目标不符(非原地扩展)。
- 新增`emit_abi_ext()`函数,实现寄存器中原地符号扩展,确保参数传递正确。
## 影响
修复前,未正确符号扩展kfunc调用参数可能导致内核panic,造成系统崩溃;修复后提升系统稳定性与安全性。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
LoongArch: BPF: Sign extend kfunc call arguments
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In the Linux kernel, the following vulnerability has been resolved: LoongArch: BPF: Sign extend kfunc call arguments The kfunc calls are native calls so they should follow LoongArch calling conventions. Sign extend its arguments properly to avoid kernel panic. This is done by adding a new emit_abi_ext() helper. The emit_abi_ext() helper performs extension in place meaning a value already store in the target register (Note: this is different from the existing sign_extend() helper and thus we can't reuse it).
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Linux kernel 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。 Linux kernel存在安全漏洞,该漏洞源于未对kfunc调用参数进行符号扩展,可能导致内核崩溃。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-71129 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-71129 的情报信息
标题: 503 Service Temporarily Unavailable -- 🔗来源链接
标签:
神龙速读:### 关键信息 - **HTTP 状态码**: 503 - **状态描述**: Service Temporarily Unavailable - **Web 服务器**: nginx ### 漏洞提示 - 该错误可能是由于服务器过载、维护或配置错误引起的。 - nginx 的默认错误页可能暴露出使用的 Web 服务器软件,有助于攻击者识别目标技术栈。 - 此错误页面没有提供具体的错误细节,有助于防范信息泄露,但也限制了故障排查的便利性。
标题: Oh noes! -- 🔗来源链接
标签:
神龙速读:以下是从这张图片中可以提取到的关键信息: ### 关键漏洞信息和配置 - **访问被拒绝**:显示了错误代码`4d1dbaddfcc0f385`,这可能是一个特定的错误标识,用于故障排除或识别特定的安全事件或漏洞。 - **防护细节**: - 由**Anubis**系统保护,此消息表明该网站正利用网络安全产品进行防御。 - **Techoa**是提供服务的组织或平台,而且特别提到了在加拿大创建,列出这些可以作为核查防护有效性或合法性的线索。 - **版本信息**: - 网站运行的Anubis防护系统版本为**1.22.0**,这对安全人员来说尤为重要,因为特定版本可能存在已知漏洞或需要更新的安全补丁。 ### 总结 这是一张显示被访问拒绝的错误页面,其中包含防护系统的技术细节和版本信息,这类信息可用于安全审计、漏洞识别及防护策略调整。特别是已知的系统版本,可能关联到需要更新的安全补丁。
标题: Oh noes! -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 - **Access Denied**: 显示存在访问控制问题,用户无法访问某些资源。 - **Error Code**: `4d1dbaddfcc0f385`,可能与特定的访问失败情况相关联,可用于进一步调试或追踪日志。 - **Anubis Protection**: 网站受 Anubis 安全系统保护,版本为 `1.22.0`,可能意味着存在特定版本相关的漏洞或配置问题。
标题: Oh noes! -- 🔗来源链接
标签:
神龙速读:- **Access Denied**: The website is displaying an "Access Denied" message with error code `4d1dbaddfcc0f385`, indicating that the request was not authorized. - **Security Software**: The website is protected by "Anubis," which is a security software, suggesting active measures to block unauthorized access. - **Website Software**: The website is built using "Techo" and "LOX NIN," which might be specific frameworks or tools used in its construction. - **Version Information**: The Anubis version being used is `1.22.0`, which could be useful for checking if there are known vulnerabilities associated with this version. - **Mascot Design**: The mascot is designed by "CELPHASC," which is a piece of information about the website's branding, but not directly related to security. ``` From a security perspective, the version number of the Anubis security software and the fact that an "Access Denied" error has occurred are the most relevant pieces of information. The error code could potentially be used to identify specific patterns or vulnerabilities if other similar codes are found.
- https://nvd.nist.gov/vuln/detail/CVE-2025-71129
四、漏洞 CVE-2025-71129 的评论
匿名用户
2026-01-15 06:08:13Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.