製品・ソフトウェアに関する情報
Vulnerability Search
LinuxのLinux Kernelにおける境界外読み取りに関する脆弱性
Title LinuxのLinux Kernelにおける境界外読み取りに関する脆弱性
Summary

Linuxカーネルのdentry_hashtableにおいて、バケットの最小数が2に制限されていなかったため、dhash_entriesを1に設定すると範囲外読み取り(OOB)が発生する問題がありました。この問題は、ハッシュ計算時に割り当てられていないメモリ領域にアクセスすることが原因であり、カーネルモードでページフォールトを引き起こす可能性がありました。本修正では、バケット数を2以上に制限して範囲外アクセスを防止し、この脆弱性を解消しました。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。

Publication Date May 5, 2026, midnight
Registration Date June 3, 2026, 5:01 p.m.
Last Update June 3, 2026, 5:01 p.m.
CVSS3.0 : 緊急
Score 9.1
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Affected System
Linux
Linux Kernel 3.10.55 以上 3.11 未満
Linux Kernel 3.12.29 以上 3.13 未満
Linux Kernel 3.14.19 以上 3.15 未満
Linux Kernel 3.16.3 以上 3.17 未満
Linux Kernel 3.17
Linux Kernel 3.17.1 以上 6.6.136 未満
Linux Kernel 6.13 以上 6.18.24 未満
Linux Kernel 6.19 以上 6.19.14 未満
Linux Kernel 6.7 以上 6.12.83 未満
Linux Kernel 7.0 以上 7.0.1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2026年06月03日]
  掲載		 June 3, 2026, 5:01 p.m.
NVD Vulnerability Information
CVE-2026-43071
Summary

In the Linux kernel, the following vulnerability has been resolved:

dcache: Limit the minimal number of bucket to two

There is an OOB read problem on dentry_hashtable when user sets
'dhash_entries=1':
BUG: unable to handle page fault for address: ffff888b30b774b0
#PF: supervisor read access in kernel mode
#PF: error_code(0x0000) - not-present page
Oops: Oops: 0000 [#1] SMP PTI
RIP: 0010:__d_lookup+0x56/0x120
Call Trace:
d_lookup.cold+0x16/0x5d
lookup_dcache+0x27/0xf0
lookup_one_qstr_excl+0x2a/0x180
start_dirop+0x55/0xa0
simple_start_creating+0x8d/0xa0
debugfs_start_creating+0x8c/0x180
debugfs_create_dir+0x1d/0x1c0
pinctrl_init+0x6d/0x140
do_one_initcall+0x6d/0x3d0
kernel_init_freeable+0x39f/0x460
kernel_init+0x2a/0x260

There will be only one bucket in dentry_hashtable when dhash_entries is
set as one, and d_hash_shift is calculated as 32 by dcache_init(). Then,
following process will access more than one buckets(which memory region
is not allocated) in dentry_hashtable:
d_lookup
b = d_hash(hash)
dentry_hashtable + ((u32)hashlen >> d_hash_shift)
// The C standard defines the behavior of right shift amounts
// exceeding the bit width of the operand as undefined. The
// result of '(u32)hashlen >> d_hash_shift' becomes 'hashlen',
// so 'b' will point to an unallocated memory region.
hlist_bl_for_each_entry_rcu(b)
hlist_bl_first_rcu(head)
h->first // read OOB!

Fix it by limiting the minimal number of dentry_hashtable bucket to two,
so that 'd_hash_shift' won't exceeds the bit width of type u32.

Publication Date May 6, 2026, 1:16 a.m.
Registration Date May 6, 2026, 4:07 a.m.
Last Update May 8, 2026, 10:16 p.m.
Related information, measures and tools
Common Vulnerabilities List