Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-02822

Опубликовано: 18 июн. 2025
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость функции ntfs_rename() модуля fs/ntfs3/namei.c файловой системы NTFS 3 ядра операционной системы Linux связана с неправильным отключением или освобождением ресурса. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Debian GNU/Linux
Linux

Версия ПО

13 (Debian GNU/Linux)
от 6.7 до 6.12.41 включительно (Linux)
от 6.13 до 6.15.9 включительно (Linux)
6.16 (Linux)
от 5.15 до 6.6.101 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 13
Сообщество свободного программного обеспечения Linux от 6.7 до 6.12.41 включительно
Сообщество свободного программного обеспечения Linux от 6.13 до 6.15.9 включительно
Сообщество свободного программного обеспечения Linux 6.16
Сообщество свободного программного обеспечения Linux от 5.15 до 6.6.101 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Linux:
https://lore.kernel.org/linux-cve-announce/2025081925-CVE-2025-38615-5f57@gregkh/
https://git.kernel.org/stable/c/b35a50d639ca5259466ef5fea85529bb4fb17d5b
https://git.kernel.org/stable/c/3ed2cc6a6e93fbeb8c0cafce1e7fb1f64a331dcc
https://git.kernel.org/stable/c/358d4f821c03add421a4c49290538a705852ccf1
https://git.kernel.org/stable/c/a285395020780adac1ffbc844069c3d700bf007a
https://git.kernel.org/linus/d99208b91933fd2a58ed9ed321af07dacd06ddc3
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.6.102
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.12.42
https://kernel.org/pub/linux/kernel/v6.x/ChangeLog-6.15.10
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-38615

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.00017
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-38615

CVSS3: 5.5
ubuntu
8 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: fs/ntfs3: cancle set bad inode after removing name fails The reproducer uses a file0 on a ntfs3 file system with a corrupted i_link. When renaming, the file0's inode is marked as a bad inode because the file name cannot be deleted. The underlying bug is that make_bad_inode() is called on a live inode. In some cases it's "icache lookup finds a normal inode, d_splice_alias() is called to attach it to dentry, while another thread decides to call make_bad_inode() on it - that would evict it from icache, but we'd already found it there earlier". In some it's outright "we have an inode attached to dentry - that's how we got it in the first place; let's call make_bad_inode() on it just for shits and giggles".

redhat логотип

CVE-2025-38615

redhat
8 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: fs/ntfs3: cancle set bad inode after removing name fails The reproducer uses a file0 on a ntfs3 file system with a corrupted i_link. When renaming, the file0's inode is marked as a bad inode because the file name cannot be deleted. The underlying bug is that make_bad_inode() is called on a live inode. In some cases it's "icache lookup finds a normal inode, d_splice_alias() is called to attach it to dentry, while another thread decides to call make_bad_inode() on it - that would evict it from icache, but we'd already found it there earlier". In some it's outright "we have an inode attached to dentry - that's how we got it in the first place; let's call make_bad_inode() on it just for shits and giggles".

nvd логотип

CVE-2025-38615

CVSS3: 5.5
nvd
8 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: fs/ntfs3: cancle set bad inode after removing name fails The reproducer uses a file0 on a ntfs3 file system with a corrupted i_link. When renaming, the file0's inode is marked as a bad inode because the file name cannot be deleted. The underlying bug is that make_bad_inode() is called on a live inode. In some cases it's "icache lookup finds a normal inode, d_splice_alias() is called to attach it to dentry, while another thread decides to call make_bad_inode() on it - that would evict it from icache, but we'd already found it there earlier". In some it's outright "we have an inode attached to dentry - that's how we got it in the first place; let's call make_bad_inode() on it just for shits and giggles".

msrc логотип

CVE-2025-38615

msrc
7 месяцев назад

fs/ntfs3: cancle set bad inode after removing name fails

debian логотип

CVE-2025-38615

CVSS3: 5.5
debian
8 месяцев назад

In the Linux kernel, the following vulnerability has been resolved: f ...

EPSS

Процентиль: 4%
0.00017
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2