CVE-2025-68768

In the Linux kernel, the following vulnerability has been resolved: inet: frags: flush pending skbs in fqdir_pre_exit() We have been seeing occasional deadlocks on pernet_ops_rwsem since September in NIPA. The stuck task was usually modprobe (often loading a driver like ipvlan), trying to take the lock as a Writer. lockdep does not track readers for rwsems so the read wasn't obvious from the reports. On closer inspection the Reader holding the lock was conntrack looping forever in nf_conntrack_cleanup_net_list(). Based on past experience with occasional NIPA crashes I looked thru the tests which run before the crash and noticed that the crash follows ip_defrag.sh. An immediate red flag. Scouring thru (de)fragmentation queues reveals skbs sitting around, holding conntrack references. The problem is that since conntrack depends on nf_defrag_ipv6, nf_defrag_ipv6 will load first. Since nf_defrag_ipv6 loads first its netns exit hooks run _after_ conntrack's netns exit hook. Flush all fragment queue SKBs during fqdir_pre_exit() to release conntrack references before conntrack cleanup runs. Also flush the queues in timer expiry handlers when they discover fqdir->dead is set, in case packet sneaks in while we're running the pre_exit flush. The commit under Fixes is not exactly the culprit, but I think previously the timer firing would eventually unblock the spinning conntrack.

CVSS

No CVSS.

References

Link	Resource
https://git.kernel.org/stable/c/006a5035b495dec008805df249f92c22c89c3d2e
https://git.kernel.org/stable/c/22ee4010866da81aeee08e1ea3fddbe418feb212
https://git.kernel.org/stable/c/543555954b1ee8d1903a7020324efb41b0c97428
https://git.kernel.org/stable/c/c70df25214ac9b32b53e18e6ae3b8f073ffa6903

Configurations

No configuration.

History

19 Jun 2026, 13:16

Type	Values Removed	Values Added
References		() https://git.kernel.org/stable/c/22ee4010866da81aeee08e1ea3fddbe418feb212 -

09 Jun 2026, 11:16

Type	Values Removed	Values Added
References		() https://git.kernel.org/stable/c/543555954b1ee8d1903a7020324efb41b0c97428 -

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta: inet: frags: vaciar skbs pendientes en fqdir_pre_exit() Hemos estado viendo interbloqueos ocasionales en pernet_ops_rwsem desde septiembre en NIPA. La tarea atascada era usualmente modprobe (a menudo cargando un controlador como ipvlan), intentando tomar el bloqueo como un Escritor. lockdep no rastrea lectores para rwsems por lo que la lectura no era obvia de los informes. En una inspección más cercana, el Lector que mantenía el bloqueo era conntrack haciendo un bucle para siempre en nf_conntrack_cleanup_net_list(). Basado en la experiencia pasada con fallos ocasionales de NIPA, revisé las pruebas que se ejecutan antes del fallo y noté que el fallo sigue a ip_defrag.sh. Una bandera roja inmediata. Revisar a fondo las colas de (des)fragmentación revela skbs que permanecen, manteniendo referencias de conntrack. El problema es que, dado que conntrack depende de nf_defrag_ipv6, nf_defrag_ipv6 se cargará primero. Dado que nf_defrag_ipv6 se carga primero, sus hooks de salida de netns se ejecutan _después_ del hook de salida de netns de conntrack. Vaciar todos los SKBs de la cola de fragmentos durante fqdir_pre_exit() para liberar referencias de conntrack antes de que se ejecute la limpieza de conntrack. También vaciar las colas en los manejadores de expiración del temporizador cuando descubren que fqdir->dead está establecido, en caso de que un paquete se cuele mientras estamos ejecutando el vaciado de pre_exit. El commit bajo Fixes no es exactamente el culpable, pero creo que anteriormente el disparo del temporizador eventualmente desbloquearía el conntrack en bucle.

13 Jan 2026, 16:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-01-13 16:15

Updated : 2026-06-19 13:16

NVD link : CVE-2025-68768

Mitre link : CVE-2025-68768

CVE.ORG link : CVE-2025-68768

JSON object : View

Products Affected

No product.

CWE

No CWE.

JSON object

Attach tags to CVE-2025-68768

Attach tags to `CVE-2025-68768`