CVE-2025-21681

In the Linux kernel, the following vulnerability has been resolved: openvswitch: fix lockup on tx to unregistering netdev with carrier Commit in a fixes tag attempted to fix the issue in the following sequence of calls: do_output -> ovs_vport_send -> dev_queue_xmit -> __dev_queue_xmit -> netdev_core_pick_tx -> skb_tx_hash When device is unregistering, the 'dev->real_num_tx_queues' goes to zero and the 'while (unlikely(hash >= qcount))' loop inside the 'skb_tx_hash' becomes infinite, locking up the core forever. But unfortunately, checking just the carrier status is not enough to fix the issue, because some devices may still be in unregistering state while reporting carrier status OK. One example of such device is a net/dummy. It sets carrier ON on start, but it doesn't implement .ndo_stop to set the carrier off. And it makes sense, because dummy doesn't really have a carrier. Therefore, while this device is unregistering, it's still easy to hit the infinite loop in the skb_tx_hash() from the OVS datapath. There might be other drivers that do the same, but dummy by itself is important for the OVS ecosystem, because it is frequently used as a packet sink for tcpdump while debugging OVS deployments. And when the issue is hit, the only way to recover is to reboot. Fix that by also checking if the device is running. The running state is handled by the net core during unregistering, so it covers unregistering case better, and we don't really need to send packets to devices that are not running anyway. While only checking the running state might be enough, the carrier check is preserved. The running and the carrier states seem disjoined throughout the code and different drivers. And other core functions like __dev_direct_xmit() check both before attempting to transmit a packet. So, it seems safer to check both flags in OVS as well.
Configurations

Configuration 1 (hide)

OR cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc1:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc2:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc3:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc4:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc5:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc6:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc7:*:*:*:*:*:*

History

02 May 2025, 07:15

Type Values Removed Values Added
References
  • () https://git.kernel.org/stable/c/87fcf0d137c770e6040ebfdb0abd8e7dd481b504 -
  • () https://git.kernel.org/stable/c/930268823f6bccb697aa5d2047aeffd4a497308c -
  • () https://git.kernel.org/stable/c/b5c73fc92f8d15c16e5dc87b5c17d2abf1e6d092 -

21 Feb 2025, 16:54

Type Values Removed Values Added
CWE CWE-835
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 5.5
Summary
  • (es) En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: openvswitch: fix lockup on tx to unregistering netdev with carrier Commit en una etiqueta fixes intentó solucionar el problema en la siguiente secuencia de llamadas: do_output -> ovs_vport_send -> dev_queue_xmit -> __dev_queue_xmit -> netdev_core_pick_tx -> skb_tx_hash Cuando el dispositivo está anulando el registro, 'dev->real_num_tx_queues' va a cero y el bucle 'while (unlikely(hash >= qcount))' dentro de 'skb_tx_hash' se vuelve infinito, bloqueando el núcleo para siempre. Pero desafortunadamente, verificar solo el estado del operador no es suficiente para solucionar el problema, porque algunos dispositivos aún pueden estar en estado de anulación de registro mientras informan que el estado del operador es correcto. Un ejemplo de dicho dispositivo es un net/dummy. Activa el operador al iniciar, pero no implementa .ndo_stop para desactivarlo. Y tiene sentido, porque dummy en realidad no tiene un operador. Por lo tanto, mientras este dispositivo se está anulando el registro, sigue siendo fácil alcanzar el bucle infinito en skb_tx_hash() desde la ruta de datos de OVS. Puede haber otros controladores que hagan lo mismo, pero dummy por sí solo es importante para el ecosistema OVS, porque se usa con frecuencia como un receptor de paquetes para tcpdump mientras se depuran las implementaciones de OVS. Y cuando se produce el problema, la única forma de recuperarse es reiniciar. Solucione eso comprobando también si el dispositivo está en ejecución. El estado de ejecución controla el núcleo de red durante la anulación del registro, por lo que cubre mejor el caso de anulación del registro y realmente no necesitamos enviar paquetes a dispositivos que no se están ejecutando de todos modos. Si bien solo comprobar el estado de ejecución puede ser suficiente, la comprobación del operador se conserva. Los estados de ejecución y del operador parecen estar separados en todo el código y en los diferentes controladores. Y otras funciones básicas como __dev_direct_xmit() comprueban ambos antes de intentar transmitir un paquete. Por lo tanto, parece más seguro comprobar también ambos indicadores en OVS.
CPE cpe:2.3:o:linux:linux_kernel:6.13:rc4:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc1:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc6:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc5:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc2:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc7:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc3:*:*:*:*:*:*
References () https://git.kernel.org/stable/c/47e55e4b410f7d552e43011baa5be1aab4093990 - () https://git.kernel.org/stable/c/47e55e4b410f7d552e43011baa5be1aab4093990 - Patch
References () https://git.kernel.org/stable/c/82f433e8dd0629e16681edf6039d094b5518d8ed - () https://git.kernel.org/stable/c/82f433e8dd0629e16681edf6039d094b5518d8ed - Patch
References () https://git.kernel.org/stable/c/ea966b6698785fb9cd0fdb867acd91b222e4723f - () https://git.kernel.org/stable/c/ea966b6698785fb9cd0fdb867acd91b222e4723f - Patch
References () https://git.kernel.org/stable/c/ea9e990356b7bee95440ba0e6e83cc4d701afaca - () https://git.kernel.org/stable/c/ea9e990356b7bee95440ba0e6e83cc4d701afaca - Patch
First Time Linux linux Kernel
Linux

31 Jan 2025, 12:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-01-31 12:15

Updated : 2025-05-02 07:15


NVD link : CVE-2025-21681

Mitre link : CVE-2025-21681

CVE.ORG link : CVE-2025-21681


JSON object : View

Products Affected

linux

  • linux_kernel
CWE
CWE-835

Loop with Unreachable Exit Condition ('Infinite Loop')