製品・ソフトウェアに関する情報
Vulnerability Search
LinuxのLinux Kernelにおける二重解放に関する脆弱性
Title LinuxのLinux Kernelにおける二重解放に関する脆弱性
Summary

Linuxカーネルにおいて、以下の脆弱性が修正されました:dmにおいて、最後のクローンされたbioが完了したときにクローンリクエストのbioポインタがクリアされない問題がありました。スタルなrq-bio値が存在すると、リクエストベースのデバイスマッパターゲットでクローンされたbioの二重初期化が発生し、その結果、use-after-freeや二重解放のシナリオが生じていました。例えば、PCIe NVMeネームスペース上でdm-multipathを使用している場合、blk_complete_request()でクローンされたリクエストbioが解放されますが、rq-bioはそのまま残ります。その後のクローンの解体処理がblk_rq_unprep_clone()を介して同じbioを再度解放しようとします。二重解放のパスは以下のとおりです:nvme_pci_complete_batch() → nvme_complete_batch() → blk_mq_end_request_batch() → blk_complete_request()(DMクローンリクエストに対して呼び出される)→ bio_endio()(すべてのクローンbioの最初の解放)→ rq-end_io()(end_clone_request())→ dm_complete_request(tio-orig) → dm_softirq_done() → dm_done() → dm_end_request() → blk_rq_unprep_clone()(クローンbioの2回目の解放)。この問題は、最後のクローンされたbioが完了した際にクローンリクエストのbioポインタをクリアすることで修正され、後続の解体処理がすでに解放されたbioを再度解放しようとしないようにしています。

Possible impacts 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。

Publication Date May 6, 2026, midnight
Registration Date May 11, 2026, 11:05 a.m.
Last Update May 11, 2026, 11:05 a.m.
CVSS3.0 : 重要
Score 7.8
Vector CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Affected System
Linux
Linux Kernel 6.1 以上 6.1.165 未満
Linux Kernel 6.13 以上 6.18.16 未満
Linux Kernel 6.19 以上 6.19.6 未満
Linux Kernel 6.2 以上 6.6.128 未満
Linux Kernel 6.7 以上 6.12.75 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2026年05月11日]
  掲載		 May 11, 2026, 11:05 a.m.
NVD Vulnerability Information
CVE-2026-43278
Summary

In the Linux kernel, the following vulnerability has been resolved:

dm: clear cloned request bio pointer when last clone bio completes

Stale rq->bio values have been observed to cause double-initialization of
cloned bios in request-based device-mapper targets, leading to
use-after-free and double-free scenarios.

One such case occurs when using dm-multipath on top of a PCIe NVMe
namespace, where cloned request bios are freed during
blk_complete_request(), but rq->bio is left intact. Subsequent clone
teardown then attempts to free the same bios again via
blk_rq_unprep_clone().

The resulting double-free path looks like:

nvme_pci_complete_batch()
nvme_complete_batch()
blk_mq_end_request_batch()
blk_complete_request() // called on a DM clone request
bio_endio() // first free of all clone bios
...
rq->end_io() // end_clone_request()
dm_complete_request(tio->orig)
dm_softirq_done()
dm_done()
dm_end_request()
blk_rq_unprep_clone() // second free of clone bios

Fix this by clearing the clone request's bio pointer when the last cloned
bio completes, ensuring that later teardown paths do not attempt to free
already-released bios.

Publication Date May 6, 2026, 9:16 p.m.
Registration Date May 7, 2026, 4:09 a.m.
Last Update May 8, 2026, 10:16 p.m.
Related information, measures and tools
Common Vulnerabilities List