关键漏洞信息 漏洞编号: CVE-2025-14876 标题: qemu-kvm: Unbounded allocation in virtio-crypto 报告日期: 2025-12-18 12:34 UTC 修改日期: 2026-02-06 11:09 UTC 优先级: 中等 严重性: 中等 平台: Linux 状态: NEW 产品: Security Response 组成部分: vulnerability 描述 在QEMU的virtio-crypto设备中发现了一个漏洞。对称路径使用conf.max_size强制执行长度限制,但AKCIPHER路径不施加任何限制。这可能允许恶意guest触发内存耗尽条件,潜在导致主机上QEMU进程的拒绝服务(DoS)。 上游补丁 https://lore.kernel.org/qemu-devel/20251221024321.143196-1-zhenwei.pi@linux.dev/ 修正提交 https://lore.kernel.org/qemu-devel/20251221024321.143196-3-zhenwei.pi@linux.dev/T/ https://gitlab.com/qemu-project/qemu/-/commit/91c6438caffc880e999a7312825479685d659b44