CVE-2025-71293: Kernel NULL Pointer in AMD GPU Driver
Plataforma
linux
Componente
amdgpu
Corrigido em
bd68a1404b6fa2e7e9957b38ba22616faba43e75
CVE-2025-71293 is a security vulnerability affecting the AMD GPU Driver within the Linux kernel. This vulnerability results in a NULL pointer dereference, potentially leading to system crashes or instability. The issue stems from a flaw in the RAS subsystem's data allocation process when encountering invalid EEPROM entries. Affected versions include those prior to bd68a1404b6fa2e7e9957b38ba22616faba43e75, and a fix is available in that version.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2025-71293 no kernel Linux, especificamente no subsistema DRM/amdgpu/ras, apresenta um risco de falha do kernel devido a uma desreferenciação de ponteiro nulo. Isso ocorre em uma situação muito específica: quando a EEPROM contém apenas entradas de endereços inválidos. Nesse cenário, a alocação de dados RAS é ignorada, levando a uma tentativa de acessar memória inválida, resultando no erro de kernel relatado. Embora a probabilidade de ocorrência seja baixa, o impacto é grave, podendo causar falha do sistema e perda de dados. A vulnerabilidade afeta principalmente sistemas que utilizam hardware AMDGPU e dependem da EEPROM para informações de endereço.
Contexto de Exploração
A exploração desta vulnerabilidade requer condições muito específicas: uma EEPROM contendo apenas entradas de endereços inválidos. Isso é improvável em configurações padrão, mas pode ocorrer em sistemas modificados ou com hardware defeituoso. Um atacante com acesso à configuração da EEPROM poderia, teoricamente, manipulá-la para criar esse cenário. No entanto, a dificuldade de manipular a EEPROM e a baixa probabilidade de que ela contenha apenas entradas inválidas tornam a exploração prática altamente improvável. A vulnerabilidade se manifesta como um pânico do kernel (kernel panic) com uma mensagem de erro indicando uma desreferenciação de ponteiro nulo.
Inteligência de Ameaças
Status do Exploit
EPSS
0.02% (percentil 6%)
Software Afetado
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A correção para CVE-2025-71293 envolve reorganizar o processo de alocação de dados RAS para que ocorra antes da verificação de páginas defeituosas. Isso garante que a alocação seja tentada mesmo que a EEPROM contenha entradas inválidas, evitando a desreferenciação de ponteiro nulo. Atualizar o kernel para uma versão que inclua o patch 'bd68a1404b6fa2e7e9957b38ba22616faba43e75' é a mitigação recomendada. Recomenda-se aplicar esta atualização o mais rápido possível, especialmente em sistemas críticos ou aqueles que lidam com informações confidenciais. Verificar a compatibilidade do patch com o hardware e a distribuição Linux é crucial antes da implementação.
Como corrigirtraduzindo…
Actualizar el kernel de Linux a la versión 6.8.1 o superior para mitigar el problema. La vulnerabilidad se produce debido a una condición de carrera en la asignación de datos RAS, que puede provocar una desreferenciación de puntero nulo. La actualización corrige este problema moviendo la asignación de datos antes de la verificación de páginas defectuosas.
Perguntas frequentes
O que é CVE-2025-71293 — Null Pointer Dereference em AMD GPU Driver?
RAS (Recovery Address Space) é um mecanismo usado no subsistema DRM/amdgpu para lidar com erros de memória e garantir a integridade dos dados.
Estou afetado pelo CVE-2025-71293 no AMD GPU Driver?
Não, afeta principalmente sistemas que utilizam hardware AMDGPU e dependem da EEPROM para informações de endereço.
Como corrijo o CVE-2025-71293 no AMD GPU Driver?
Verifique a versão do kernel Linux. Se for anterior à versão que inclui o patch 'bd68a1404b6fa2e7e9957b38ba22616faba43e75', é possível que seja vulnerável.
O CVE-2025-71293 está sendo explorado ativamente?
Não existem soluções temporárias eficazes. A aplicação do patch é a mitigação recomendada.
Onde encontro o aviso oficial do AMD GPU Driver para o CVE-2025-71293?
Você pode encontrar mais informações nos recursos de segurança do Linux e nos registros de alterações do kernel.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...