CVE-2025-21629

Nome do Software Vulnerável e Versões Afetadas Versões do kernel Linux anteriores à 6.6.74

Descrição O problema envolve o tratamento de pacotes IPv6 com cabeçalhos de extensão pelo kernel Linux. Especificamente, afeta dispositivos que anunciam NETIF F IPV6 CSUM, que é um recurso para cálculo de checksum de pacotes TCP ou UDP simples sobre IPv6. O problema surge quando pacotes BIG TCP são utilizados, introduzindo um cabeçalho de extensão IPv6 IPV6 TLV JUMBO para comunicar o comprimento do pacote. Este cabeçalho não é transmitido por dispositivos físicos, mas está presente em taps PF PACKET como o tcpdump. A alteração que causou o problema desabilitou o offload de hardware de pacotes IPv6 com cabeçalhos de extensão em dispositivos que suportam NETIF F IPV6 CSUM. A função ipv6 has hopopt jumbo() testa a presença deste cabeçalho e garante que ele seja o único cabeçalho de extensão antes de um cabeçalho terminal (L4). O problema foi resolvido reabilitando o offload NETIF F IPV6 CSUM para pacotes BIG TCP.

Recomendações Para versões do kernel Linux anteriores à 6.6.74, atualize para a versão 6.6.74 ou posterior para resolver o problema. Como medida paliativa temporária, considere desabilitar a função skb warn bad offload() até que um patch esteja disponível. Restrinja o acesso ao recurso vulnerável NETIF F IPV6 CSUM para minimizar o risco de exploração. Evite usar o cabeçalho de extensão IPV6 TLV JUMBO em pacotes BIG TCP até que o problema seja resolvido.