In the Linux kernel, the following vulnerability has been resolved:
rxrpc: Also unshare DATA/RESPONSE packets when paged frags are present
The DATA-packet handler in rxrpc_input_call_event() and the RESPONSE
handler in rxrpc_verify_response() copy the skb to a linear one before
calling into the security ops only when skb_cloned() is true. An skb
that is not cloned but still carries externally-owned paged fragments
(e.g. SKBFL_SHARED_FRAG set by splice() into a UDP socket via
__ip_append_data, or a chained skb_has_frag_list()) falls through to
the in-place decryption path, which binds the frag pages directly into
the AEAD/skcipher SGL via skb_to_sgvec().
Extend the gate to also unshare when skb_has_frag_list() or
skb_has_shared_frag() is true. This catches the splice-loopback vector
and other externally-shared frag sources while preserving the
zero-copy fast path for skbs whose frags are kernel-private (e.g. NIC
page_pool RX, GRO). The OOM/trace handling already in place is reused.
CVE-2026-43500 is a buffer overflow vulnerability (CWE-787) in the Linux kernel's rxrpc subsystem affecting DATA and RESPONSE packet handlers. The vulnerability allows improper handling of shared memory fragments during cryptographic operations, potentially enabling memory corruption and unauthorized access. This affects kernel versions 5.3 through 7.1 and requires immediate patching for systems using rxrpc protocol.
IMMEDIATE ACTIONS:
1. Identify all Linux systems running kernel versions 5.3 through 7.1 using rxrpc protocol (check: grep -r 'rxrpc' /etc/modules or lsmod | grep rxrpc)
2. Prioritize systems handling encrypted communications or payment processing
3. Implement network segmentation to isolate affected systems
PATCHING GUIDANCE:
1. Apply kernel security patches immediately from your Linux distribution (RHEL, Ubuntu, SLES, etc.)
2. For RHEL/CentOS: yum update kernel && reboot
3. For Ubuntu: apt update && apt upgrade linux-image-generic && reboot
4. Verify patch application: uname -r should show updated kernel version
COMPENSATING CONTROLS (if immediate patching not possible):
1. Disable rxrpc module if not essential: echo 'blacklist rxrpc' >> /etc/modprobe.d/blacklist.conf
2. Implement strict firewall rules limiting RPC traffic to trusted sources only
3. Enable kernel address space layout randomization (ASLR): echo 2 > /proc/sys/kernel/randomize_va_space
4. Monitor system logs for memory corruption indicators
DETECTION RULES:
1. Monitor for kernel panic/oops messages related to rxrpc in dmesg
2. Alert on unexpected memory access violations in audit logs
3. Track failed cryptographic operations in application logs
4. Monitor for unusual network RPC traffic patterns
5. Implement HIDS rules detecting buffer overflow exploitation attempts
الإجراءات الفورية:
1. تحديد جميع أنظمة Linux التي تعمل بإصدارات النواة من 5.3 إلى 7.1 باستخدام بروتوكول rxrpc
2. إعطاء الأولوية للأنظمة التي تتعامل مع الاتصالات المشفرة أو معالجة الدفع
3. تطبيق تقسيم الشبكة لعزل الأنظمة المتأثرة
إرشادات التصحيح:
1. تطبيق تصحيحات أمان النواة فورًا من توزيعة Linux الخاصة بك
2. لـ RHEL/CentOS: yum update kernel && reboot
3. لـ Ubuntu: apt update && apt upgrade linux-image-generic && reboot
4. التحقق من تطبيق التصحيح: uname -r يجب أن يظهر إصدار النواة المحدث
الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكنًا):
1. تعطيل وحدة rxrpc إذا لم تكن ضرورية
2. تطبيق قواعد جدار الحماية الصارمة لتحديد حركة RPC للمصادر الموثوقة فقط
3. تفعيل عشوائية تخطيط مساحة العناوين (ASLR)
4. مراقبة سجلات النظام لمؤشرات تلف الذاكرة
قواعد الكشف:
1. مراقبة رسائل kernel panic المتعلقة بـ rxrpc
2. التنبيه على انتهاكات الوصول إلى الذاكرة غير المتوقعة
3. تتبع العمليات التشفيرية الفاشلة
4. مراقبة أنماط حركة RPC غير العادية
5. تطبيق قواعد HIDS للكشف عن محاولات استغلال تجاوز المخزن المؤقت