A flaw was found in Corosync. A remote unauthenticated attacker can exploit a wrong return value vulnerability in the Corosync membership commit token sanity check by sending a specially crafted User Datagram Protocol (UDP) packet. This can lead to an out-of-bounds read, causing a denial of service (DoS) and potentially disclosing limited memory contents. This vulnerability affects Corosync when running in totemudp/totemudpu mode, which is the default configuration.
CVE-2026-35091 is a critical remote denial-of-service vulnerability in Corosync affecting cluster management infrastructure across Saudi Arabia. An unauthenticated attacker can send malicious UDP packets to trigger out-of-bounds memory reads, causing service disruption and potential information disclosure. With exploit code publicly available and no patch currently available, this poses immediate risk to organizations running Corosync in default totemudp/totemudpu mode, particularly critical infrastructure operators.
IMMEDIATE ACTIONS:
1. Identify all systems running Corosync in totemudp/totemudpu mode using: 'corosync-cfgtool -s' and review /etc/corosync/corosync.conf
2. Implement network segmentation: restrict UDP port 5405-5406 access to trusted cluster nodes only using firewall rules
3. Deploy intrusion detection signatures for malformed Corosync membership packets
4. Monitor system logs for segmentation faults and out-of-bounds read errors
COMPENSATING CONTROLS (until patch available):
5. Switch to totemknet transport mode if operationally feasible: modify corosync.conf to use 'transport: knet' instead of 'totemudp'
6. Implement strict network ACLs limiting Corosync cluster communication to known node IPs only
7. Deploy rate limiting on UDP port 5405-5406 to mitigate DoS attempts
8. Enable Corosync debug logging to detect anomalous membership token values
DETECTION:
9. Monitor for: 'corosync.*segfault', 'out of bounds', 'invalid token' in system logs
10. Alert on unexpected Corosync service restarts or crashes
11. Track memory access patterns using auditd rules for Corosync process
الإجراءات الفورية:
1. تحديد جميع الأنظمة التي تشغل Corosync في وضع totemudp/totemudpu باستخدام: 'corosync-cfgtool -s' ومراجعة /etc/corosync/corosync.conf
2. تنفيذ تقسيم الشبكة: تقييد وصول منفذ UDP 5405-5406 إلى عقد المجموعة الموثوقة فقط باستخدام قواعد جدار الحماية
3. نشر توقيعات كشف الاختراق لحزم عضوية Corosync المشوهة
4. مراقبة سجلات النظام للأخطاء والقراءات خارج الحدود
الضوابط البديلة (حتى توفر التصحيح):
5. التبديل إلى وضع نقل totemknet إن أمكن: تعديل corosync.conf لاستخدام 'transport: knet' بدلاً من 'totemudp'
6. تنفيذ قوائم تحكم الوصول الصارمة لتحديد اتصالات مجموعة Corosync بعناوين IP المعروفة فقط
7. نشر تحديد معدل على منفذ UDP 5405-5406 للتخفيف من محاولات DoS
8. تفعيل تسجيل تصحيح Corosync للكشف عن قيم رموز العضوية الشاذة
الكشف:
9. مراقبة: 'corosync.*segfault', 'out of bounds', 'invalid token' في سجلات النظام
10. تنبيه عند إعادة تشغيل أو توقف خدمة Corosync غير المتوقعة
11. تتبع أنماط الوصول إلى الذاكرة باستخدام قواعد auditd لعملية Corosync