CVE-2025-71293: Kernel NULL Pointer in AMD GPU Driver
Platform
linux
Component
amdgpu
Opgelost in
bd68a1404b6fa2e7e9957b38ba22616faba43e75
CVE-2025-71293 is a security vulnerability affecting the AMD GPU Driver within the Linux kernel. This vulnerability results in a NULL pointer dereference, potentially leading to system crashes or instability. The issue stems from a flaw in the RAS subsystem's data allocation process when encountering invalid EEPROM entries. Affected versions include those prior to bd68a1404b6fa2e7e9957b38ba22616faba43e75, and a fix is available in that version.
Impact en Aanvalsscenarios
CVE-2025-71293 in de Linux kernel, specifiek binnen het DRM/amdgpu/ras subsystem, presenteert een risico op kernel crash door een null pointer dereferentie. Dit gebeurt onder een zeer specifieke voorwaarde: wanneer de EEPROM alleen ongeldige adres-entries bevat. In dit scenario wordt de RAS data allocatie overgeslagen, wat leidt tot een poging om ongeldige geheugen te benaderen, resulterend in de gerapporteerde kernel fout. Hoewel de kans dat dit gebeurt klein is, is de impact ernstig, mogelijk wat leidt tot systeem falen en data verlies. De kwetsbaarheid beïnvloedt voornamelijk systemen die AMDGPU hardware gebruiken en afhankelijk zijn van de EEPROM voor adres informatie.
Uitbuitingscontext
Exploitatie van deze kwetsbaarheid vereist zeer specifieke voorwaarden: een EEPROM die alleen ongeldige adres-entries bevat. Dit is onwaarschijnlijk in standaard configuraties, maar kan voorkomen in gemodificeerde systemen of met defecte hardware. Een aanvaller met toegang tot de EEPROM configuratie zou theoretisch de EEPROM kunnen manipuleren om dit scenario te creëren. De moeilijkheid om de EEPROM te manipuleren en de kleine kans dat deze alleen ongeldige entries bevat, maken praktische exploitatie zeer onwaarschijnlijk. De kwetsbaarheid manifesteert zich als een kernel panic met een foutmelding die een null pointer dereferentie aangeeft.
Dreigingsinformatie
Exploit Status
EPSS
0.02% (6% percentiel)
Getroffen Software
Tijdlijn
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De oplossing voor CVE-2025-71293 omvat het herschikken van het RAS data allocatie proces om te gebeuren voordat de bad page check. Dit zorgt ervoor dat de allocatie wordt geprobeerd, zelfs als de EEPROM ongeldige entries bevat, waardoor de null pointer dereferentie wordt voorkomen. Het updaten van de kernel naar een versie die de patch 'bd68a1404b6fa2e7e9957b38ba22616faba43e75' bevat, is de aanbevolen mitigatie. Het is aan te raden om deze update zo snel mogelijk toe te passen, vooral op kritieke systemen of systemen die gevoelige informatie verwerken. Het verifiëren van patch compatibiliteit met de hardware en de Linux distributie is cruciaal voordat de implementatie plaatsvindt.
Hoe te verhelpenwordt vertaald…
Actualizar el kernel de Linux a la versión 6.8.1 o superior para mitigar el problema. La vulnerabilidad se produce debido a una condición de carrera en la asignación de datos RAS, que puede provocar una desreferenciación de puntero nulo. La actualización corrige este problema moviendo la asignación de datos antes de la verificación de páginas defectuosas.
Veelgestelde vragen
Wat is CVE-2025-71293 — Null Pointer Dereference in AMD GPU Driver?
RAS (Recovery Address Space) is een mechanisme dat wordt gebruikt in het DRM/amdgpu subsystem om geheugen fouten te verwerken en de data integriteit te waarborgen.
Ben ik getroffen door CVE-2025-71293 in AMD GPU Driver?
Nee, het beïnvloedt voornamelijk systemen die AMDGPU hardware gebruiken en afhankelijk zijn van de EEPROM voor adres informatie.
Hoe los ik CVE-2025-71293 in AMD GPU Driver op?
Controleer de versie van de Linux kernel. Als deze ouder is dan de versie die de patch 'bd68a1404b6fa2e7e9957b38ba22616faba43e75' bevat, kan het zijn dat u kwetsbaar bent.
Wordt CVE-2025-71293 actief misbruikt?
Er zijn geen effectieve tijdelijke workarounds. Het toepassen van de patch is de aanbevolen mitigatie.
Waar vind ik het officiële AMD GPU Driver-beveiligingsadvies voor CVE-2025-71293?
U kunt meer informatie vinden op Linux security resources en in de kernel changelogs.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Probeer het nu — geen account
Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.
Sleep uw afhankelijkheidsbestand hierheen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...