CVE-2025-38352: Luka wyścigu TOCTOU w jądrze Linux dotycząca timerów POSIX CPU

Wysokie ryzyko luki TOCTOU w timerach POSIX CPU jądra Linux. Zalecane szybkie wdrożenie poprawek i monitorowanie systemów.
CVE-2025-38352CVSS 7.4CISA KEVLinux

CVE-2025-38352: Luka wyścigu TOCTOU w jądrze Linux dotycząca timerów POSIX CPU

Wysokie ryzyko luki TOCTOU w timerach POSIX CPU jądra Linux. Zalecane szybkie wdrożenie poprawek i monitorowanie systemów.

CVSS
7.4 HIGH
EPSS
68.01%
Aktywnie wykorzystywana
tak
Produkt
Kernel

Co wiadomo

W jądrze Linux załatano lukę wyścigu TOCTOU w obsłudze timerów POSIX CPU, gdzie równoczesne wywołania funkcji mogły prowadzić do błędów w zarządzaniu timerami podczas zamykania zadań. Problem dotyczył sytuacji, gdy zadanie nie-autoreapujące wywoływało funkcję z przerwania, co mogło powodować nieprawidłowe wykrycie stanu timera.

Wpływ biznesowy

Ta luka może prowadzić do niestabilności systemu lub błędów w zarządzaniu zasobami CPU, co wpływa na niezawodność i bezpieczeństwo systemów opartych na jądrze Linux. Operatorzy IT powinni zwrócić uwagę na potencjalne problemy z obsługą timerów w środowiskach o wysokim obciążeniu lub krytycznych aplikacjach.

Rekomendowane działania administratora

Zaleca się przejrzenie i zastosowanie dostępnych aktualizacji jądra Linux zawierających poprawkę dla tej luki. W przypadku braku natychmiastowej możliwości aktualizacji, warto ograniczyć ekspozycję systemów, monitorować logi pod kątem nieprawidłowości związanych z timerami POSIX CPU oraz priorytetyzować wdrożenie poprawek w środowiskach produkcyjnych.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS