В ядре Linux зафиксирована первая уязвимость, связанная с кодом на Rust. Об этом сообщил один из ключевых мейнтейнеров проекта Грег Кроа-Хартман. Проблема получила идентификатор CVE-2025-68260 и затрагивает переписанный на Rust драйвер межпроцессного взаимодействия Android Binder, появившийся в ветке ядра начиная с версии 6.18.
Согласно описанию, опубликованному в рассылке Linux и проанализированному Phoronix, уязвимость представляет собой состояние гонки (race condition), возникающее в результате использования небезопасных (unsafe) участков Rust-кода. При определённом стечении обстоятельств это приводит к повреждению указателей в памяти и может вызывать сбой работы системы, вплоть до паники ядра.
Авторы подчёркивают, что речь идёт именно о риске падения системы, а не о возможности удалённого выполнения кода или прямой компрометации безопасности. Тем не менее уязвимость затрагивает все сборки ядра Linux, в которых присутствует Rust-реализация Binder, поэтому пользователям соответствующих веток рекомендуется следить за обновлениями.
Кроа-Хартман отмечает, что CVE-2025-68260 — первый зарегистрированный инцидент подобного рода с момента появления Rust-кода в основном дереве ядра Linux. По его словам, это ожидаемый этап взросления новой подсистемы: Rust-компоненты теперь проходят тот же цикл выявления и устранения уязвимостей, через который десятилетиями проходил код на C. В сообществе также обращают внимание, что проблема возникла не из-за фундаментальных недостатков Rust, а именно в небезопасных блоках, которые по-прежнему необходимы для низкоуровневой работы ядра.
Эксперты напоминают, что Rust значительно снижает число типичных ошибок управления памятью — переполнений буферов, use-after-free и подобных классов багов, — но не отменяет потребности в тщательном проектировании, ревью и тестировании. Детали по CVE-2025-68260 уже доступны в официальной рассылке Linux CVE, а исправления для уязвимого драйвера Binder ожидаются в ближайших обновлениях стабильных веток ядра.