製品・ソフトウェアに関する情報
Vulnerability Search
LinuxのLinux Kernelにおける再帰制御に関する脆弱性
Title LinuxのLinux Kernelにおける再帰制御に関する脆弱性
Summary

Linuxカーネルにおいて、以下の脆弱性が修正されました。scsi: target: configfs の tg_pt_gp_members_show() における snprintf() の戻り値に基づく境界チェックが追加されました。target_tg_pt_gp_members_show() は LUN パスを snprintf() で 256 バイトのスタックバッファにフォーマットし、その後バッファから cur_len バイトを memcpy() でコピーします。snprintf() は出力しようとした長さを返しますが、iSCSI IQN 名が最大 223 バイトでファブリック WWN が長い場合、この長さがバッファサイズを超えることがあります。memcpy() の部分のチェックはコピー先ページの書き込みのみを保護し、コピー元の読み取りは保護していません。そのため、memcpy() はスタックバッファを超えて読み取り、隣接するスタック内容を sysfs の読み取り者にコピーしてしまいます。CONFIG_FORTIFY_SOURCE が有効な場合は、fortify_panic() が発動します。コミット 27e06650a5ea("scsi: target: target_core_configfs: Add length check to avoid buffer overflow")では target_lu_gp_members_show() に同様の境界チェックが追加されましたが、tg_pt_gp_ のバリアントは見逃されていたため、今回ここで修正されました。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。

Publication Date May 28, 2026, midnight
Registration Date June 11, 2026, 4:22 p.m.
Last Update June 11, 2026, 4:22 p.m.
CVSS3.0 : 重要
Score 7.1
Vector CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
Affected System
Linux
Linux Kernel 2.6.38 以上 5.10.258 未満
Linux Kernel 5.11 以上 5.15.209 未満
Linux Kernel 5.16 以上 6.1.175 未満
Linux Kernel 6.13 以上 6.18.30 未満
Linux Kernel 6.19 以上 7.0.7 未満
Linux Kernel 6.2 以上 6.6.140 未満
Linux Kernel 6.7 以上 6.12.88 未満
Linux Kernel 7.1
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2026年06月11日]
  掲載		 June 11, 2026, 4:22 p.m.
NVD Vulnerability Information
CVE-2026-46149
Summary

In the Linux kernel, the following vulnerability has been resolved:

scsi: target: configfs: Bound snprintf() return in tg_pt_gp_members_show()

target_tg_pt_gp_members_show() formats LUN paths with snprintf() into a
256-byte stack buffer, then will memcpy() cur_len bytes from that
buffer. snprintf() returns the length the output would have had, which
can exceed the buffer size when the fabric WWN is long because iSCSI IQN
names can be up to 223 bytes. The check at the memcpy() site only
guards the destination page write, not the source read, so memcpy() will
read past the stack buffer and copy adjacent stack contents to the sysfs
reader, which when CONFIG_FORTIFY_SOURCE is enabled, fortify_panic()
will be triggered.

Commit 27e06650a5ea ("scsi: target: target_core_configfs: Add length
check to avoid buffer overflow") added the same bound to the
target_lu_gp_members_show() but the tg_pt_gp variant was missed so
resolve that here.

Publication Date May 28, 2026, 7:16 p.m.
Registration Date May 29, 2026, 4:13 a.m.
Last Update June 2, 2026, 2:17 a.m.
Related information, measures and tools
Common Vulnerabilities List