Se descubrieron múltiples vulnerabilidades en el kernel de Linux para plataformas NVIDIA BlueField. Un actor malicioso podría utilizarlos para comprometer el sistema.
Productos afectados
- Ubuntu 20.04 focal, imagen de Linux Bluefield anterior a 5.4.0-1105.112
- Ubuntu 20.04 focal, imagen de Linux Bluefield anterior a 5.4.0-1105.101
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-21934: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de use-after-free en rio_add_net(), al utilizar kfree(). Un actor malicioso podría explotarla para ejecutar código arbitrario, corromper datos críticos o escalar privilegios manipulando memoria ya liberada y reasignada maliciosamente.
CVE-2025-21928: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de use-after-free en ishtp_hid_remove() al liberar prematuramente driver_data. Un actor malicioso podría explotarla para ejecutar código arbitrario, corromper datos críticos o escalar privilegios manipulando memoria ya liberada y reasignada maliciosamente.
CVE-2025-21920: con una puntuación de 7.1 en CVSS v3.1. Existe una vulnerabilidad en la creación de dispositivos VLAN sobre dispositivos no Ethernet (como túneles GRE) que causaba fuga de direcciones de memoria kernel debido a un out-of-bounds read en dev_mc_add. Un actor malicioso podría explotarla para robar datos sensibles de la memoria.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-21920
- https://nvd.nist.gov/vuln/detail/CVE-2025-21928
- https://nvd.nist.gov/vuln/detail/CVE-2025-21934
- https://ubuntu.com/security/notices/USN-7517-3