barebox version prior to 2026.04.0 contains a denial-of-service vulnerability in ext4 directory parsing in fs/ext4/ext4_common.c where the ext4fs_iterate_dir() function fails to validate that directory entry length values are non-zero. Attackers can supply a malicious ext4 filesystem image with a crafted directory entry containing a direntlen value of 0 to cause an infinite loop during directory listing or path resolution, resulting in the boot process hanging indefinitely.
A denial-of-service vulnerability exists in barebox versions prior to 2026.04.0 where the ext4 directory parser fails to validate directory entry lengths, allowing attackers to craft malicious filesystems that cause infinite loops during boot. This vulnerability affects systems using barebox as a bootloader with ext4 filesystem support.
يحتوي barebox على ثغرة في معالج نظام ملفات ext4 حيث لا يتحقق من أن قيم طول إدخالات الدليل غير صفرية. يمكن للمهاجمين إنشاء صورة ext4 ضارة تحتوي على إدخال دليل بقيمة direntlen تساوي 0 مما يسبب حلقة لا نهائية. هذا يؤدي إلى تعليق عملية الإقلاع بشكل دائم.
ثغرة حجب الخدمة موجودة في إصدارات barebox السابقة للإصدار 2026.04.0 حيث يفشل محلل دليل ext4 في التحقق من طول إدخالات الدليل، مما يسمح للمهاجمين بإنشاء أنظمة ملفات ضارة تسبب حلقات لا نهائية أثناء الإقلاع. تؤثر هذه الثغرة على الأنظمة التي تستخدم barebox كمحمل إقلاع مع دعم نظام ملفات ext4.
Update barebox to version 2026.04.0 or later. Validate ext4 filesystem images before use and implement input validation in the ext4fs_iterate_dir() function to ensure directory entry length values are non-zero. Restrict filesystem image sources to trusted providers.
قم بتحديث barebox إلى الإصدار 2026.04.0 أو أحدث. تحقق من صور نظام ملفات ext4 قبل الاستخدام وقم بتنفيذ التحقق من المدخلات في دالة ext4fs_iterate_dir() للتأكد من أن قيم طول إدخالات الدليل غير صفرية. قيد مصادر صور نظام الملفات للموفرين الموثوقين.