製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける境界外読み取りに関する脆弱性

Title	LinuxのLinux Kernelにおける境界外読み取りに関する脆弱性
Summary	Linuxカーネルにおいて、以下の脆弱性が修正されました。BluetoothのL2CAPにおいて、アクセス前にL2CAP_INFO_RSPペイロードの長さを検証します。l2cap_information_rsp()はcmd_lenが固定のl2cap_info_rspヘッダー（type + result、4バイト）をカバーしていることを確認しますが、その後ペイロードの存在を検証せずにrsp-dataを読み取っていました。- L2CAP_IT_FEAT_MASKはget_unaligned_le32(rsp-data)を呼び出し、ヘッダーの4バイト先まで読み取ります（cmd_len = 8が必要です）。- L2CAP_IT_FIXED_CHANはrsp-data[0]を読み取り、ヘッダーの1バイト先まで読み取ります（cmd_len = 5が必要です）。resultがL2CAP_IR_SUCCESSである切り詰められたL2CAP_INFO_RSPは隣接するskbデータの境界外読み取りを引き起こしました。データアクセスごとに必要なペイロード長の検証でガードしています。ペイロードが短すぎる場合は読み取りをスキップし、状態機械が安全なデフォルト値（feat_maskとremote_fixed_chanはkzallocによりゼロのまま）で完了するようにしています。これによりinfoタイマーのクリーンアップとl2cap_conn_start()が引き続き実行され、接続が停止しません。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	April 3, 2026, midnight
Registration Date	May 28, 2026, 2:42 p.m.
Last Update	May 28, 2026, 2:42 p.m.

CVSS3.0 : 重要
Score	8.1
Vector	CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

Affected System

Linux

Linux Kernel 2.6.24 以上 5.10.253 未満

Linux Kernel 5.11 以上 5.15.203 未満

Linux Kernel 5.16 以上 6.1.167 未満

Linux Kernel 6.13 以上 6.18.20 未満

Linux Kernel 6.19 以上 6.19.10 未満

Linux Kernel 6.2 以上 6.6.130 未満

Linux Kernel 6.7 以上 6.12.78 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-31393	https://www.cve.org/CVERecord?id=CVE-2026-31393
National Vulnerability Database (NVD)
2	CVE-2026-31393	https://nvd.nist.gov/vuln/detail/CVE-2026-31393

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-125	https://cwe.mitre.org/data/definitions/125.html

その他

No	Name	URL
関連文書
1	Bluetooth: L2CAP: Validate L2CAP_INFO_RSP payload length before access - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/187e6fe939295be36063a1d91f8bebee04399a8c)	https://git.kernel.org/stable/c/187e6fe939295be36063a1d91f8bebee04399a8c
2	Bluetooth: L2CAP: Validate L2CAP_INFO_RSP payload length before access - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/3b646516cba2ebc4b51a72954903326e7c1e443f)	https://git.kernel.org/stable/c/3b646516cba2ebc4b51a72954903326e7c1e443f
3	Bluetooth: L2CAP: Validate L2CAP_INFO_RSP payload length before access - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/5229e7d15771eac2b5886bfb1f976aea0c1eec14)	https://git.kernel.org/stable/c/5229e7d15771eac2b5886bfb1f976aea0c1eec14
4	Bluetooth: L2CAP: Validate L2CAP_INFO_RSP payload length before access - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/807bd1258453c4c83f6ae9dbc1e7b44860ff40d0)	https://git.kernel.org/stable/c/807bd1258453c4c83f6ae9dbc1e7b44860ff40d0
5	Bluetooth: L2CAP: Validate L2CAP_INFO_RSP payload length before access - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/9aeacde4da0f02d42fd968fd32f245828b230171)	https://git.kernel.org/stable/c/9aeacde4da0f02d42fd968fd32f245828b230171
6	Bluetooth: L2CAP: Validate L2CAP_INFO_RSP payload length before access - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/db2872d054e467810078e2b9f440a5b326a601b2)	https://git.kernel.org/stable/c/db2872d054e467810078e2b9f440a5b326a601b2
7	Bluetooth: L2CAP: Validate L2CAP_INFO_RSP payload length before access - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/dd815e6e3918dc75a49aaabac36e4f024d675101)	https://git.kernel.org/stable/c/dd815e6e3918dc75a49aaabac36e4f024d675101
8	Bluetooth: L2CAP: Validate L2CAP_INFO_RSP payload length before access - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/e7ff754e339e3d5ce29aa9f95352d0186df8fbd9)	https://git.kernel.org/stable/c/e7ff754e339e3d5ce29aa9f95352d0186df8fbd9

Change Log

No	Changed Details	Date of change
1	[2026年05月28日] 掲載	May 28, 2026, 2:42 p.m.

NVD Vulnerability Information

CVE-2026-31393

Summary	In the Linux kernel, the following vulnerability has been resolved: Bluetooth: L2CAP: Validate L2CAP_INFO_RSP payload length before access l2cap_information_rsp() checks that cmd_len covers the fixed l2cap_info_rsp header (type + result, 4 bytes) but then reads rsp->data without verifying that the payload is present: - L2CAP_IT_FEAT_MASK calls get_unaligned_le32(rsp->data), which reads 4 bytes past the header (needs cmd_len >= 8). - L2CAP_IT_FIXED_CHAN reads rsp->data[0], 1 byte past the header (needs cmd_len >= 5). A truncated L2CAP_INFO_RSP with result == L2CAP_IR_SUCCESS triggers an out-of-bounds read of adjacent skb data. Guard each data access with the required payload length check. If the payload is too short, skip the read and let the state machine complete with safe defaults (feat_mask and remote_fixed_chan remain zero from kzalloc), so the info timer cleanup and l2cap_conn_start() still run and the connection is not stalled.
Publication Date	April 4, 2026, 1:16 a.m.
Registration Date	April 15, 2026, 11:24 a.m.
Last Update	April 7, 2026, 10:20 p.m.

Related information, measures and tools

No	URL	refsource
1	https://git.kernel.org/stable/c/3b646516cba2ebc4b51a72954903326e7c1e443f	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/807bd1258453c4c83f6ae9dbc1e7b44860ff40d0	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/9aeacde4da0f02d42fd968fd32f245828b230171	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/db2872d054e467810078e2b9f440a5b326a601b2	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/dd815e6e3918dc75a49aaabac36e4f024d675101	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/e7ff754e339e3d5ce29aa9f95352d0186df8fbd9	416baaa9-dc9f-4396-8d5f-8c081fb06d67

Common Vulnerabilities List