製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける境界外書き込みに関する脆弱性

タイトル	LinuxのLinux Kernelにおける境界外書き込みに関する脆弱性
概要	Linuxカーネルにおいて、iavfドライバーのiavf_get_ethtool_stats()関数で境界外書き込みの脆弱性が修正されました。iavfは誤ってreal_num_tx_queuesを使用していましたが、これは実行時に変化する可能性があり、安全なnum_tx_queuesを用いるべきでした。これにより、ethtoolの一部操作を同時に行った場合に境界外書き込みが発生し、メモリの破損やシステムの不安定化を引き起こす可能性がありました。関連する関数で不変なnum_tx_queuesを使用することで、この問題を解決しています。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年4月22日0:00
登録日	2026年4月30日12:15
最終更新日	2026年4月30日12:15

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 5.17

Linux Kernel 5.17.1 以上 6.12.80 未満

Linux Kernel 6.13 以上 6.18.21 未満

Linux Kernel 6.19 以上 6.19.11 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-31505	https://www.cve.org/CVERecord?id=CVE-2026-31505
National Vulnerability Database (NVD)
2	CVE-2026-31505	https://nvd.nist.gov/vuln/detail/CVE-2026-31505

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-787	https://cwe.mitre.org/data/definitions/787.html

その他

No	名前	URL
関連文書
1	iavf: fix out-of-bounds writes in iavf_get_ethtool_stats() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/1f931dee5b726df1940348ec31614d64bac03aa6)	https://git.kernel.org/stable/c/1f931dee5b726df1940348ec31614d64bac03aa6
2	iavf: fix out-of-bounds writes in iavf_get_ethtool_stats() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/bb85741d2dc2be207353a412f51b83697fcbefcf)	https://git.kernel.org/stable/c/bb85741d2dc2be207353a412f51b83697fcbefcf
3	iavf: fix out-of-bounds writes in iavf_get_ethtool_stats() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/fdf902bf86a80bf15792a1d20a67a5302498d7f1)	https://git.kernel.org/stable/c/fdf902bf86a80bf15792a1d20a67a5302498d7f1
4	iavf: fix out-of-bounds writes in iavf_get_ethtool_stats() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/fecacfc95f195b99c71c579a472120d0b4ed65fa)	https://git.kernel.org/stable/c/fecacfc95f195b99c71c579a472120d0b4ed65fa

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日12:15

NVD脆弱性情報

CVE-2026-31505

概要	In the Linux kernel, the following vulnerability has been resolved: iavf: fix out-of-bounds writes in iavf_get_ethtool_stats() iavf incorrectly uses real_num_tx_queues for ETH_SS_STATS. Since the value could change in runtime, we should use num_tx_queues instead. Moreover iavf_get_ethtool_stats() uses num_active_queues while iavf_get_sset_count() and iavf_get_stat_strings() use real_num_tx_queues, which triggers out-of-bounds writes when we do "ethtool -L" and "ethtool -S" simultaneously [1]. For example when we change channels from 1 to 8, Thread 3 could be scheduled before Thread 2, and out-of-bounds writes could be triggered in Thread 3: Thread 1 (ethtool -L) Thread 2 (work) Thread 3 (ethtool -S) iavf_set_channels() ... iavf_alloc_queues() -> num_active_queues = 8 iavf_schedule_finish_config() iavf_get_sset_count() real_num_tx_queues: 1 -> buffer for 1 queue iavf_get_ethtool_stats() num_active_queues: 8 -> out-of-bounds! iavf_finish_config() -> real_num_tx_queues = 8 Use immutable num_tx_queues in all related functions to avoid the issue. [1] BUG: KASAN: vmalloc-out-of-bounds in iavf_add_one_ethtool_stat+0x200/0x270 Write of size 8 at addr ffffc900031c9080 by task ethtool/5800 CPU: 1 UID: 0 PID: 5800 Comm: ethtool Not tainted 6.19.0-enjuk-08403-g8137e3db7f1c #241 PREEMPT(full) Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2 04/01/2014 Call Trace: <TASK> dump_stack_lvl+0x6f/0xb0 print_report+0x170/0x4f3 kasan_report+0xe1/0x180 iavf_add_one_ethtool_stat+0x200/0x270 iavf_get_ethtool_stats+0x14c/0x2e0 __dev_ethtool+0x3d0c/0x5830 dev_ethtool+0x12d/0x270 dev_ioctl+0x53c/0xe30 sock_do_ioctl+0x1a9/0x270 sock_ioctl+0x3d4/0x5e0 __x64_sys_ioctl+0x137/0x1c0 do_syscall_64+0xf3/0x690 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f7da0e6e36d ... </TASK> The buggy address belongs to a 1-page vmalloc region starting at 0xffffc900031c9000 allocated at __dev_ethtool+0x3cc9/0x5830 The buggy address belongs to the physical page: page: refcount:1 mapcount:0 mapping:0000000000000000 index:0xffff88813a013de0 pfn:0x13a013 flags: 0x200000000000000(node=0\|zone=2) raw: 0200000000000000 0000000000000000 dead000000000122 0000000000000000 raw: ffff88813a013de0 0000000000000000 00000001ffffffff 0000000000000000 page dumped because: kasan: bad access detected Memory state around the buggy address: ffffc900031c8f80: f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 ffffc900031c9000: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 >ffffc900031c9080: f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 ^ ffffc900031c9100: f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 ffffc900031c9180: f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8 f8
公表日	2026年4月22日23:16
登録日	2026年4月25日4:05
最終更新日	2026年4月29日0:06

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:linux:linux_kernel::::::::	5.17.1			6.12.80
cpe:2.3:o:linux:linux_kernel::::::::	6.13			6.18.21
cpe:2.3:o:linux:linux_kernel::::::::	6.19			6.19.11
cpe:2.3:o:linux:linux_kernel:5.17:-::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc1::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc2::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc3::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc4::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc5::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc6::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc7::::::

No	URL	refsource
1	https://git.kernel.org/stable/c/1f931dee5b726df1940348ec31614d64bac03aa6	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/bb85741d2dc2be207353a412f51b83697fcbefcf	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/fdf902bf86a80bf15792a1d20a67a5302498d7f1	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/fecacfc95f195b99c71c579a472120d0b4ed65fa	416baaa9-dc9f-4396-8d5f-8c081fb06d67