CVE-2025-22015

In the Linux kernel, the following vulnerability has been resolved: mm/migrate: fix shmem xarray update during migration A shmem folio can be either in page cache or in swap cache, but not at the same time. Namely, once it is in swap cache, folio->mapping should be NULL, and the folio is no longer in a shmem mapping. In __folio_migrate_mapping(), to determine the number of xarray entries to update, folio_test_swapbacked() is used, but that conflates shmem in page cache case and shmem in swap cache case. It leads to xarray multi-index entry corruption, since it turns a sibling entry to a normal entry during xas_store() (see [1] for a userspace reproduction). Fix it by only using folio_test_swapcache() to determine whether xarray is storing swap cache entries or not to choose the right number of xarray entries to update. [1] https://lore.kernel.org/linux-mm/Z8idPCkaJW1IChjT@casper.infradead.org/ Note: In __split_huge_page(), folio_test_anon() && folio_test_swapcache() is used to get swap_cache address space, but that ignores the shmem folio in swap cache case. It could lead to NULL pointer dereferencing when a in-swap-cache shmem folio is split at __xa_store(), since !folio_test_anon() is true and folio->mapping is NULL. But fortunately, its caller split_huge_page_to_list_to_order() bails out early with EBUSY when folio->mapping is NULL. So no need to take care of it here.

CVSS v3 5.5 MEDIUM

5.5^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.8 / Impact : 3.6

Attack Vector LOCAL

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://git.kernel.org/stable/c/29124ae980e2860f0eec7355949d3d3292ee81da	Patch
https://git.kernel.org/stable/c/49100c0b070e900f87c8fac3be9b9ef8a30fa673	Patch
https://git.kernel.org/stable/c/60cf233b585cdf1f3c5e52d1225606b86acd08b0	Patch
https://git.kernel.org/stable/c/75cfb92eb63298d717b6b0118f91ba12c4fcfeb5	Patch
https://git.kernel.org/stable/c/c057ee03f751d6cecf7ee64f52f6545d94082aaa	Patch

Configurations

Configuration 1 (hide)

OR	cpe:2.3:o:linux:linux_kernel::::::::
	cpe:2.3:o:linux:linux_kernel::::::::
	cpe:2.3:o:linux:linux_kernel::::::::
	cpe:2.3:o:linux:linux_kernel::::::::
	cpe:2.3:o:linux:linux_kernel:6.7:-::::::
	cpe:2.3:o:linux:linux_kernel:6.7:rc8::::::
	cpe:2.3:o:linux:linux_kernel:6.14:rc1::::::
	cpe:2.3:o:linux:linux_kernel:6.14:rc2::::::
	cpe:2.3:o:linux:linux_kernel:6.14:rc3::::::
	cpe:2.3:o:linux:linux_kernel:6.14:rc4::::::
	cpe:2.3:o:linux:linux_kernel:6.14:rc5::::::
	cpe:2.3:o:linux:linux_kernel:6.14:rc6::::::
	cpe:2.3:o:linux:linux_kernel:6.14:rc7::::::

History

28 Oct 2025, 17:12

Type	Values Removed	Values Added
References	~~() https://git.kernel.org/stable/c/29124ae980e2860f0eec7355949d3d3292ee81da -~~	() https://git.kernel.org/stable/c/29124ae980e2860f0eec7355949d3d3292ee81da - Patch
References	~~() https://git.kernel.org/stable/c/49100c0b070e900f87c8fac3be9b9ef8a30fa673 -~~	() https://git.kernel.org/stable/c/49100c0b070e900f87c8fac3be9b9ef8a30fa673 - Patch
References	~~() https://git.kernel.org/stable/c/60cf233b585cdf1f3c5e52d1225606b86acd08b0 -~~	() https://git.kernel.org/stable/c/60cf233b585cdf1f3c5e52d1225606b86acd08b0 - Patch
References	~~() https://git.kernel.org/stable/c/75cfb92eb63298d717b6b0118f91ba12c4fcfeb5 -~~	() https://git.kernel.org/stable/c/75cfb92eb63298d717b6b0118f91ba12c4fcfeb5 - Patch
References	~~() https://git.kernel.org/stable/c/c057ee03f751d6cecf7ee64f52f6545d94082aaa -~~	() https://git.kernel.org/stable/c/c057ee03f751d6cecf7ee64f52f6545d94082aaa - Patch
First Time		Linux linux Kernel Linux
CPE		cpe:2.3:o:linux:linux_kernel:::::::: cpe:2.3:o:linux:linux_kernel:6.14:rc7:::::: cpe:2.3:o:linux:linux_kernel:6.7:-:::::: cpe:2.3:o:linux:linux_kernel:6.14:rc2:::::: cpe:2.3:o:linux:linux_kernel:6.14:rc3:::::: cpe:2.3:o:linux:linux_kernel:6.14:rc5:::::: cpe:2.3:o:linux:linux_kernel:6.14:rc1:::::: cpe:2.3:o:linux:linux_kernel:6.14:rc4:::::: cpe:2.3:o:linux:linux_kernel:6.14:rc6:::::: cpe:2.3:o:linux:linux_kernel:6.7:rc8::::::
CWE		CWE-476
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 5.5

08 Apr 2025, 18:13

Type	Values Removed	Values Added
Summary		(es) En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/migrate: arregla la actualización de xarray de shmem durante la migración un folio de shmem puede estar en la caché de página o en la caché de intercambio, pero no al mismo tiempo. Es decir, una vez que está en la caché de intercambio, folio->mapping debe ser NULL y el folio ya no está en una asignación de shmem. En __folio_migrate_mapping(), para determinar el número de entradas de xarray a actualizar, se usa folio_test_swapbacked(), pero eso combina shmem en el caso de la caché de página y shmem en el caso de la caché de intercambio. Lleva a la corrupción de entradas de múltiples índices de xarray, ya que convierte una entrada hermana en una entrada normal durante xas_store() (vea [1] para una reproducción del espacio de usuario). Arréglelo usando solo folio_test_swapcache() para determinar si xarray está almacenando entradas de caché de intercambio o no para elegir el número correcto de entradas de xarray para actualizar. [1] https://lore.kernel.org/linux-mm/Z8idPCkaJW1IChjT@casper.infradead.org/ Nota: En __split_huge_page(), se usan folio_test_anon() y folio_test_swapcache() para obtener el espacio de direcciones de la caché de intercambio, pero esto ignora el folio shmem en el caso de la caché de intercambio. Esto podría provocar la desreferenciación de punteros nulos cuando un folio shmem en la caché de intercambio se divide en __xa_store(), ya que !folio_test_anon() es verdadero y folio->mapping es nulo. Afortunadamente, su llamador, split_huge_page_to_list_to_order(), se detiene antes de tiempo con EBUSY cuando folio->mapping es nulo. Por lo tanto, no es necesario ocuparse de ello aquí.

08 Apr 2025, 09:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-04-08 09:15

Updated : 2025-10-28 17:12

NVD link : CVE-2025-22015

Mitre link : CVE-2025-22015

CVE.ORG link : CVE-2025-22015

JSON object : View

Products Affected

linux

linux_kernel

CWE

CWE-476

NULL Pointer Dereference

5.5 /10