linux内核核心维护者greg kroah-hartman正式确认,内核主线中首次有rust编写的代码被分配了cve编号。他指出:
Rust并不是能根除一切安全风险的“万能钥匙”,但它确实显著提升了代码安全性;随着Rust在内核代码库中应用范围持续扩大,整体漏洞数量有望大幅下降。尽管如此,我们刚刚为内核中部分Rust实现分配了首个CVE:https://www.php.cn/link/fd2919424aa877f8510812adda653f71。该漏洞仅会触发系统崩溃,不涉及可被利用的内存破坏行为,从安全角度看,其危害程度已明显降低。https://www.php.cn/link/dd27f2bc962dc976d5e3115fdc6120ce
据悉,此次Linux内核中首个与Rust相关的CVE,源于Android Binder子系统采用Rust语言重写的模块。由于部分已知存在安全隐患的Rust代码逻辑,可能诱发竞争条件问题。该问题将导致链表中前驱/后继指针发生内存损坏,最终引发内核崩溃。
该CVE编号(CVE-2025-68260)所标识的缺陷,仅会造成系统不可用性(即崩溃),影响范围涵盖自Linux 6.18版本起引入Rust版Binder驱动的所有后续内核版本。值得强调的是,截至目前,尚未发现该漏洞可用于远程代码执行或其他高危攻击场景。
源码地址:点击下载
