製品・ソフトウェアに関する情報
Vulnerability Search
LinuxのLinux Kernelにおける有効期限後のメモリの解放の欠如に関する脆弱性
Title LinuxのLinux Kernelにおける有効期限後のメモリの解放の欠如に関する脆弱性
Summary

Linuxカーネルにおいて、以下の脆弱性が修正されました。usb: usblpにおける短い応答によるIEEE 1284デバイスIDのヒープリークの問題を修正しました。usblp_ctrl_msg()はusb_control_msg()の返り値を0または負のエラー番号に単純化し、実際に転送されたバイト数を破棄するようになりました。壊れたプリンタはGET_DEVICE_ID制御転送を短く完了させることができ、従来はドライバがこれを検知できませんでした。usblp_cache_device_id_string()はレスポンスから2バイトのビッグエンディアン長接頭辞を読み取り、それを(バッファ境界でのみ制限して)信用していました。バッファはプローブ時にkmalloc(1024)で確保されます。例えば、2バイトだけ(0x03 0xFFのように1023バイトのIDを主張する)を送信するデバイスは、device_id_string[2..1022]に古いkmallocヒープのデータを残すことがあります。その古いデータは以下の方法で露出されます。- ieee1284_id sysfs属性(sprintf("%s", buf+2)で表示され、古いヒープ中の最初のヌル文字まで切り詰められます)、および- IOCNR_GET_DEVICE_ID ioctlによって、このコピーはヌル文字に関係なく主張された長さ全体をユーザにコピーし、最大1021バイトの未初期化ヒープが漏洩します。そのサイズはデバイスによって決定されます。これを修正するために、デバイスに送信する各リクエストの前にバッファをゼロクリアする処理を加えました。

Possible impacts ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。

Publication Date May 28, 2026, midnight
Registration Date June 10, 2026, 2:27 p.m.
Last Update June 10, 2026, 2:27 p.m.
CVSS3.0 : 警告
Score 5.5
Vector CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Affected System
Linux
Linux Kernel 2.6.12
Linux Kernel 2.6.12.1 以上 5.10.258 未満
Linux Kernel 5.11 以上 5.15.209 未満
Linux Kernel 5.16 以上 6.1.175 未満
Linux Kernel 6.13 以上 6.18.30 未満
Linux Kernel 6.19 以上 7.0.7 未満
Linux Kernel 6.2 以上 6.6.140 未満
Linux Kernel 6.7 以上 6.12.88 未満
Linux Kernel 7.1
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2026年06月10日]
  掲載		 June 10, 2026, 2:27 p.m.
NVD Vulnerability Information
CVE-2026-46151
Summary

In the Linux kernel, the following vulnerability has been resolved:

usb: usblp: fix heap leak in IEEE 1284 device ID via short response

usblp_ctrl_msg() collapses the usb_control_msg() return value to
0/-errno, discarding the actual number of bytes transferred. A broken
printer can complete the GET_DEVICE_ID control transfer short and the
driver has no way to know.

usblp_cache_device_id_string() reads the 2-byte big-endian length prefix
from the response and trusts it (clamped only to the buffer bounds).
The buffer is kmalloc(1024) at probe time. A device that sends exactly
two bytes (e.g. 0x03 0xFF, claiming a 1023-byte ID) leaves
device_id_string[2..1022] holding stale kmalloc heap.

That stale data is then exposed:
- via the ieee1284_id sysfs attribute (sprintf("%s", buf+2), truncated
at the first NUL in the stale heap), and
- via the IOCNR_GET_DEVICE_ID ioctl, which copy_to_user()s the full
claimed length regardless of NULs, up to 1021 bytes of uninitialized
heap, with the leak size chosen by the device.

Fix this up by just zapping the buffer with zeros before each request
sent to the device.

Publication Date May 28, 2026, 7:16 p.m.
Registration Date May 29, 2026, 4:13 a.m.
Last Update June 2, 2026, 2:17 a.m.
Related information, measures and tools
Common Vulnerabilities List