製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性

Title	LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性
Summary	Linuxカーネルにおいて、net: schedのlockless qdiscsでqdisc_reset_all_tx_gt()とdequeueの競合を回避するための修正が行われました。この問題はnetif_set_real_num_tx_queues()が現在のtxキューの数を縮小する際に、使われなくなるキューのqdiscをフラッシュする過程で発生していました。lockless qdiscsでは、qdisc_reset()が__qdisc_run()と同時に実行される可能性があり、skbがまだdequeuingされている間に解放されてUse-After-Freeが発生していました。これはvirtio-netなどで多くのトラフィックを発生させつつキューペア数を頻繁に変更することで再現できました。修正ではqdisc_reset_all_tx_gt()をqdisc-seqlockで直列化し、dev_reset_queue()での動作と合わせました。さらにリセット後にQDISC_STATE_NON_EMPTYをクリアし、不要な再スケジューリングを回避します。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	March 25, 2026, midnight
Registration Date	April 27, 2026, 11:25 a.m.
Last Update	April 27, 2026, 11:25 a.m.

CVSS3.0 : 重要
Score	7.8
Vector	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Affected System

Linux

Linux Kernel 4.16

Linux Kernel 4.16.1 以上 5.15.203 未満

Linux Kernel 5.16 以上 6.1.167 未満

Linux Kernel 6.13 以上 6.18.17 未満

Linux Kernel 6.19 以上 6.19.7 未満

Linux Kernel 6.2 以上 6.6.130 未満

Linux Kernel 6.7 以上 6.12.77 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-23340	https://www.cve.org/CVERecord?id=CVE-2026-23340
National Vulnerability Database (NVD)
2	CVE-2026-23340	https://nvd.nist.gov/vuln/detail/CVE-2026-23340

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-416	https://cwe.mitre.org/data/definitions/416.html

その他

No	Name	URL
関連文書
1	net: sched: avoid qdisc_reset_all_tx_gt() vs dequeue race for lockless qdiscs - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/5bb27ad54d12de67e457d7d251198e361bef835e)	https://git.kernel.org/stable/c/5bb27ad54d12de67e457d7d251198e361bef835e
2	net: sched: avoid qdisc_reset_all_tx_gt() vs dequeue race for lockless qdiscs - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/5bc4e69306ed7ae02232eb4c0b23ed621a26d504)	https://git.kernel.org/stable/c/5bc4e69306ed7ae02232eb4c0b23ed621a26d504
3	net: sched: avoid qdisc_reset_all_tx_gt() vs dequeue race for lockless qdiscs - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/7594467c49bfc2f4644dee0415ac2290db11fa0d)	https://git.kernel.org/stable/c/7594467c49bfc2f4644dee0415ac2290db11fa0d
4	net: sched: avoid qdisc_reset_all_tx_gt() vs dequeue race for lockless qdiscs - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/7f083faf59d14c04e01ec05a7507f036c965acf8)	https://git.kernel.org/stable/c/7f083faf59d14c04e01ec05a7507f036c965acf8
5	net: sched: avoid qdisc_reset_all_tx_gt() vs dequeue race for lockless qdiscs - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/8314944cc3bdeaa5a73e6f8a8cf0d94822e625cb)	https://git.kernel.org/stable/c/8314944cc3bdeaa5a73e6f8a8cf0d94822e625cb
6	net: sched: avoid qdisc_reset_all_tx_gt() vs dequeue race for lockless qdiscs - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/c69df4e0524f8de8e176ba389acd83e85f5f49d0)	https://git.kernel.org/stable/c/c69df4e0524f8de8e176ba389acd83e85f5f49d0
7	net: sched: avoid qdisc_reset_all_tx_gt() vs dequeue race for lockless qdiscs - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/dbd58b0730aa06ab6ad26079cf9a5b6b58e7e750)	https://git.kernel.org/stable/c/dbd58b0730aa06ab6ad26079cf9a5b6b58e7e750

Change Log

No	Changed Details	Date of change
1	[2026年04月27日] 掲載	April 27, 2026, 11:25 a.m.

NVD Vulnerability Information

CVE-2026-23340

Summary	In the Linux kernel, the following vulnerability has been resolved: net: sched: avoid qdisc_reset_all_tx_gt() vs dequeue race for lockless qdiscs When shrinking the number of real tx queues, netif_set_real_num_tx_queues() calls qdisc_reset_all_tx_gt() to flush qdiscs for queues which will no longer be used. qdisc_reset_all_tx_gt() currently serializes qdisc_reset() with qdisc_lock(). However, for lockless qdiscs, the dequeue path is serialized by qdisc_run_begin/end() using qdisc->seqlock instead, so qdisc_reset() can run concurrently with __qdisc_run() and free skbs while they are still being dequeued, leading to UAF. This can easily be reproduced on e.g. virtio-net by imposing heavy traffic while frequently changing the number of queue pairs: iperf3 -ub0 -c $peer -t 0 & while :; do ethtool -L eth0 combined 1 ethtool -L eth0 combined 2 done With KASAN enabled, this leads to reports like: BUG: KASAN: slab-use-after-free in __qdisc_run+0x133f/0x1760 ... Call Trace: <TASK> ... __qdisc_run+0x133f/0x1760 __dev_queue_xmit+0x248f/0x3550 ip_finish_output2+0xa42/0x2110 ip_output+0x1a7/0x410 ip_send_skb+0x2e6/0x480 udp_send_skb+0xb0a/0x1590 udp_sendmsg+0x13c9/0x1fc0 ... </TASK> Allocated by task 1270 on cpu 5 at 44.558414s: ... alloc_skb_with_frags+0x84/0x7c0 sock_alloc_send_pskb+0x69a/0x830 __ip_append_data+0x1b86/0x48c0 ip_make_skb+0x1e8/0x2b0 udp_sendmsg+0x13a6/0x1fc0 ... Freed by task 1306 on cpu 3 at 44.558445s: ... kmem_cache_free+0x117/0x5e0 pfifo_fast_reset+0x14d/0x580 qdisc_reset+0x9e/0x5f0 netif_set_real_num_tx_queues+0x303/0x840 virtnet_set_channels+0x1bf/0x260 [virtio_net] ethnl_set_channels+0x684/0xae0 ethnl_default_set_doit+0x31a/0x890 ... Serialize qdisc_reset_all_tx_gt() against the lockless dequeue path by taking qdisc->seqlock for TCQ_F_NOLOCK qdiscs, matching the serialization model already used by dev_reset_queue(). Additionally clear QDISC_STATE_NON_EMPTY after reset so the qdisc state reflects an empty queue, avoiding needless re-scheduling.
Summary	En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: sched: evitar la condición de carrera entre qdisc_reset_all_tx_gt() y la eliminación de la cola para qdiscs sin bloqueo Al reducir el número de colas de transmisión (tx) reales, netif_set_real_num_tx_queues() llama a qdisc_reset_all_tx_gt() para vaciar los qdiscs de las colas que ya no se utilizarán. Actualmente, qdisc_reset_all_tx_gt() serializa qdisc_reset() con qdisc_lock(). Sin embargo, para los qdiscs sin bloqueo, la ruta de eliminación de la cola se serializa mediante qdisc_run_begin/end() usando qdisc->seqlock en su lugar, por lo que qdisc_reset() puede ejecutarse concurrentemente con __qdisc_run() y liberar skbs mientras aún se están eliminando de la cola, lo que lleva a un uso después de liberación. Esto se puede reproducir fácilmente, por ejemplo, en virtio-net, imponiendo un tráfico intenso mientras se cambia frecuentemente el número de pares de colas: iperf3 -ub0 -c $peer -t 0 & while :; do ethtool -L eth0 combined 1 ethtool -L eth0 combined 2 done Con KASAN habilitado, esto lleva a informes como: BUG: KASAN: uso después de liberación de slab en __qdisc_run+0x133f/0x1760 ... Rastro de Llamada: ... __qdisc_run+0x133f/0x1760 __dev_queue_xmit+0x248f/0x3550 ip_finish_output2+0xa42/0x2110 ip_output+0x1a7/0x410 ip_send_skb+0x2e6/0x480 udp_send_skb+0xb0a/0x1590 udp_sendmsg+0x13c9/0x1fc0 ... Asignado por la tarea 1270 en la cpu 5 a los 44.558414s: ... alloc_skb_with_frags+0x84/0x7c0 sock_alloc_send_pskb+0x69a/0x830 __ip_append_data+0x1b86/0x48c0 ip_make_skb+0x1e8/0x2b0 udp_sendmsg+0x13a6/0x1fc0 ... Liberado por la tarea 1306 en la cpu 3 a los 44.558445s: ... kmem_cache_free+0x117/0x5e0 pfifo_fast_reset+0x14d/0x580 qdisc_reset+0x9e/0x5f0 netif_set_real_num_tx_queues+0x303/0x840 virtnet_set_channels+0x1bf/0x260 [virtio_net] ethnl_set_channels+0x684/0xae0 ethnl_default_set_doit+0x31a/0x890 ... Serializar qdisc_reset_all_tx_gt() contra la ruta de eliminación de la cola sin bloqueo tomando qdisc->seqlock para los qdiscs TCQ_F_NOLOCK, coincidiendo con el modelo de serialización ya utilizado por dev_reset_queue(). Además, borrar QDISC_STATE_NON_EMPTY después del reinicio para que el estado del qdisc refleje una cola vacía, evitando una reprogramación innecesaria.
Publication Date	March 25, 2026, 8:16 p.m.
Registration Date	April 27, 2026, 12:18 p.m.
Last Update	April 24, 2026, 6:17 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:linux:linux_kernel::::::::	4.16.1			5.15.203
cpe:2.3:o:linux:linux_kernel::::::::	5.16			6.1.167
cpe:2.3:o:linux:linux_kernel::::::::	6.2			6.6.130
cpe:2.3:o:linux:linux_kernel::::::::	6.7			6.12.77
cpe:2.3:o:linux:linux_kernel::::::::	6.13			6.18.17
cpe:2.3:o:linux:linux_kernel::::::::	6.19			6.19.7
cpe:2.3:o:linux:linux_kernel:4.16:-::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc1::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc2::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc3::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc4::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc5::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc6::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc7::::::

Related information, measures and tools

No	URL	refsource
1	https://git.kernel.org/stable/c/5bb27ad54d12de67e457d7d251198e361bef835e	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/5bc4e69306ed7ae02232eb4c0b23ed621a26d504	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/7594467c49bfc2f4644dee0415ac2290db11fa0d	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/7f083faf59d14c04e01ec05a7507f036c965acf8	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/8314944cc3bdeaa5a73e6f8a8cf0d94822e625cb	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/c69df4e0524f8de8e176ba389acd83e85f5f49d0	416baaa9-dc9f-4396-8d5f-8c081fb06d67
7	https://git.kernel.org/stable/c/dbd58b0730aa06ab6ad26079cf9a5b6b58e7e750	416baaa9-dc9f-4396-8d5f-8c081fb06d67

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-416	解放済みメモリの使用	https://cwe.mitre.org/data/definitions/416.html