製品・ソフトウェアに関する情報
脆弱性検索
Linux の Linux Kernel 等複数ベンダの製品における NULL ポインタデリファレンスに関する脆弱性
タイトル Linux の Linux Kernel 等複数ベンダの製品における NULL ポインタデリファレンスに関する脆弱性
概要

Linux の Linux Kernel 等複数ベンダの製品には、NULL ポインタデリファレンスに関する脆弱性が存在します。

想定される影響 サービス運用妨害 (DoS) 状態にされる可能性があります。 
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2025年4月2日0:00
登録日 2025年12月25日11:31
最終更新日 2025年12月25日11:31
CVSS3.0 : 警告
スコア 5.5
ベクター CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
影響を受けるシステム
Debian
Debian GNU/Linux 11.0
Linux
Linux Kernel 5.13 以上 6.1.136 未満
Linux Kernel 6.13 以上 6.13.11 未満
Linux Kernel 6.14 以上 6.14.2 未満
Linux Kernel 6.2 以上 6.6.89 未満
Linux Kernel 6.7 以上 6.12.26 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
1 [2025年12月25日]
  掲載		 2025年12月25日11:31
NVD脆弱性情報
CVE-2025-37938
概要

In the Linux kernel, the following vulnerability has been resolved:

tracing: Verify event formats that have "%*p.."

The trace event verifier checks the formats of trace events to make sure
that they do not point at memory that is not in the trace event itself or
in data that will never be freed. If an event references data that was
allocated when the event triggered and that same data is freed before the
event is read, then the kernel can crash by reading freed memory.

The verifier runs at boot up (or module load) and scans the print formats
of the events and checks their arguments to make sure that dereferenced
pointers are safe. If the format uses "%*p.." the verifier will ignore it,
and that could be dangerous. Cover this case as well.

Also add to the sample code a use case of "%*pbl".

公表日 2025年5月21日1:15
登録日 2025年5月21日4:00
最終更新日 2025年5月22日5:25
関連情報、対策とツール
共通脆弱性一覧