Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - netfilter: nft_ct为 natted 连接添加 seqadj 扩展具有 PASV/EPSV 模式的 FTP 流量可能需要调整序列。原因是需要在 ftp 控制连接上重写数据包负载IP、端口。这可能需要更改 TCP 长度和预期 seq / ack_seq。重现此问题的最简单的方法是使用 PASV 模式。规则集示例table inet ftp_nat { ct helper ftp_helper { type ftp protocol tcp l3proto inet } chain 预路由 { type filter hook 预路由优先级 0; }策略接受tcp dport 21 ct state new ct helper set ftp_helper } } table ip nat { chain 预路由 { type nat hook 预路由优先级 -100; }策略接受tcp dport 21 dnat ip 前缀到 ip daddr 映射 {192.168.100.1 : 192.168.13.2/32 } } chain postrouting { type nat hook postroutingpriority 100 ;策略接受tcp port 21 snat ip prefix to ip saddr map { 192.168.13.2 : 192.168.100.1/32 } } } 请注意ftp 帮助程序在 dnat 设置*之后*会进行分配。反向帮助程序分配后 nat 由 nf_nat_setup_info() 中的现有检查处理因此不会显示此问题。Topoloy: +--------------------+ +-------------------------- --------+ | FTP 192.168.13.2 | | FTP <-> NAT 192.168.13.3[] 、[] | | NAT  、 192.168.100.1 +--------------------+ +---------------------------- | ------+ | +------------------------+ |客户端
    192.168.100.2 +------------------------+ ftp nat 变更在此情况下无法正常工作已连接到 192.168.100.1。 [..] ftp> epsv IPv4 上的 EPSV/EPRT 关闭。 ftp> ls 227 进入被动模式 (192,168,100,1,209,129)。 421 服务不可用远程服务器已关闭连接。内核日志
    缺少 nfct_seqadj_ext_add() 设置调用警告net/netfilter/nf_conntrack_seqadj.c:41 上的 CPU1 PID0 [..] __nf_nat_mangle_tcp_packet+0x100/0x160 [nf_nat] nf_nat_ftp+0x142/0x280 [nf_nat_ftp] help+0x4d111 nf_conntrack_ftp] nf_confirm+0x122/0x2e0 [nf_conntrack] nf_hook_slow+0x3c/0xb0 .. 将 conntrack 帮助程序分配给具有 nat 绑定的连接时通过添加所需的扩展来修复此问题。
    (CVE-2025-68206)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2025-68206

high Nessus 插件 ID 278910

版本 1.2