CVE-2025-71293: Kernel NULL Pointer in AMD GPU Driver
Plateforme
linux
Composant
amdgpu
Corrigé dans
bd68a1404b6fa2e7e9957b38ba22616faba43e75
CVE-2025-71293 is a security vulnerability affecting the AMD GPU Driver within the Linux kernel. This vulnerability results in a NULL pointer dereference, potentially leading to system crashes or instability. The issue stems from a flaw in the RAS subsystem's data allocation process when encountering invalid EEPROM entries. Affected versions include those prior to bd68a1404b6fa2e7e9957b38ba22616faba43e75, and a fix is available in that version.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2025-71293 dans le kernel Linux, spécifiquement au sein du sous-système DRM/amdgpu/ras, présente un risque de plantage du kernel dû à une déréférence de pointeur nul. Ceci se produit dans une condition très spécifique : lorsque la EEPROM contient uniquement des entrées d'adresses invalides. Dans ce scénario, l'allocation de données RAS est ignorée, ce qui entraîne une tentative d'accès à une mémoire invalide, résultant en l'erreur de kernel signalée. Bien que la probabilité que cela se produise soit faible, l'impact est sévère, pouvant entraîner un plantage du système et une perte de données. La vulnérabilité affecte principalement les systèmes utilisant du matériel AMDGPU et dépendant de la EEPROM pour les informations d'adresse.
Contexte d'Exploitation
L'exploitation de cette vulnérabilité nécessite des conditions très spécifiques : une EEPROM contenant uniquement des entrées d'adresses invalides. Ceci est peu probable dans les configurations standard, mais pourrait se produire dans les systèmes modifiés ou avec du matériel défectueux. Un attaquant ayant accès à la configuration de la EEPROM pourrait, théoriquement, la manipuler pour créer ce scénario. Cependant, la difficulté de manipuler la EEPROM et la faible probabilité qu'elle contienne uniquement des entrées invalides rendent l'exploitation pratique très improbable. La vulnérabilité se manifeste sous la forme d'un panic du kernel (kernel panic) avec un message d'erreur indiquant une déréférence de pointeur nul.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
Logiciel Affecté
Chronologie
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La correction pour CVE-2025-71293 consiste à réorganiser le processus d'allocation de données RAS pour qu'il se produise avant la vérification des pages défectueuses. Cela garantit que l'allocation est tentée même si la EEPROM contient des entrées invalides, évitant ainsi la déréférence de pointeur nul. Mettre à jour le kernel vers une version incluant le patch 'bd68a1404b6fa2e7e9957b38ba22616faba43e75' est la mitigation recommandée. Il est conseillé d'appliquer cette mise à jour dès que possible, en particulier sur les systèmes critiques ou ceux qui traitent des informations sensibles. Vérifier la compatibilité du patch avec le matériel et la distribution Linux est crucial avant la mise en œuvre.
Comment corrigertraduction en cours…
Actualizar el kernel de Linux a la versión 6.8.1 o superior para mitigar el problema. La vulnerabilidad se produce debido a una condición de carrera en la asignación de datos RAS, que puede provocar una desreferenciación de puntero nulo. La actualización corrige este problema moviendo la asignación de datos antes de la verificación de páginas defectuosas.
Questions fréquentes
Qu'est-ce que CVE-2025-71293 — Null Pointer Dereference dans AMD GPU Driver ?
RAS (Recovery Address Space) est un mécanisme utilisé dans le sous-système DRM/amdgpu pour gérer les erreurs de mémoire et assurer l'intégrité des données.
Suis-je affecté(e) par CVE-2025-71293 dans AMD GPU Driver ?
Non, elle affecte principalement les systèmes utilisant du matériel AMDGPU et dépendant de la EEPROM pour les informations d'adresse.
Comment corriger CVE-2025-71293 dans AMD GPU Driver ?
Vérifiez la version du kernel Linux. Si elle est antérieure à la version incluant le patch 'bd68a1404b6fa2e7e9957b38ba22616faba43e75', vous pourriez être vulnérable.
CVE-2025-71293 est-il activement exploité ?
Il n'existe pas de solutions de contournement temporaires efficaces. L'application du patch est la mitigation recommandée.
Où trouver l'avis officiel de AMD GPU Driver pour CVE-2025-71293 ?
Vous pouvez trouver plus d'informations sur les ressources de sécurité Linux et dans les journaux de modifications du kernel.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...