製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける整数オーバーフローの脆弱性

タイトル	LinuxのLinux Kernelにおける整数オーバーフローの脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました。mm: filemap: filemap_map_pages()におけるnr_pages計算のオーバーフローを修正しました。Arm64マシン上でv7.0-rc3カーネルのstress-ngを実行した際に、「Bad page state」という非常に異常なクラッシュが発生しました。ページの状態を解析したところ、refcountが0であるにもかかわらずmapcountが0でない理由が理解しづらく、この問題は発生箇所ではないページにおいても確認されました。CONFIG_DEBUG_VMを有効化したところ、同様のクラッシュが再現され、該当問題に関する最初の警告が以下のように捕捉されました。VM_WARN_ON_FOLIO(page_folio(page + nr_pages - 1) != folio, folio)というコードが警告を発し、set_pte_range()が大きなfolioのサイズを超えてマッピングしようとしたことを示しています。詳細なデバッグ情報から、filemap_map_pages()内でnr_pagesがオーバーフローし、set_pte_range()がfolioサイズを超えた範囲をマッピングしてしまい、本来そのfolioに属さないページのフィールド（例：page-_mapcount）が破損する可能性があることが判明しました。問題の根本原因は、CPU0側でファイルの終端ページオフセット(end_pgoff)の計算がfolio取得より後に行われていたため同期が取れず、nr_pagesがオーバーフローしたためです。修正として、end_pgoffの計算をnext_uptodate_folio()呼び出しの前に移動させることで、取得するfolioとファイル終端の一貫性を保ち、この問題を防止しています。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年4月24日0:00
登録日	2026年4月30日12:32
最終更新日	2026年4月30日12:32

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 6.1.159 以上 6.2 未満

Linux Kernel 6.12

Linux Kernel 6.12.1 以上 6.12.82 未満

Linux Kernel 6.13 以上 6.18.23 未満

Linux Kernel 6.19 以上 6.19.13 未満

Linux Kernel 6.6.117 以上 6.6.135 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-31648	https://www.cve.org/CVERecord?id=CVE-2026-31648
National Vulnerability Database (NVD)
2	CVE-2026-31648	https://nvd.nist.gov/vuln/detail/CVE-2026-31648

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-190	https://cwe.mitre.org/data/definitions/190.html

その他

No	名前	URL
関連文書
1	mm: filemap: fix nr_pages calculation overflow in filemap_map_pages() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/576543bedd616254032d4ebe54a90076f9e31740)	https://git.kernel.org/stable/c/576543bedd616254032d4ebe54a90076f9e31740
2	mm: filemap: fix nr_pages calculation overflow in filemap_map_pages() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/633ab680c405ac390e6bec5b74aaf46197c837b6)	https://git.kernel.org/stable/c/633ab680c405ac390e6bec5b74aaf46197c837b6
3	mm: filemap: fix nr_pages calculation overflow in filemap_map_pages() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/88591194df736a508dd5461ab2167a61e98caac1)	https://git.kernel.org/stable/c/88591194df736a508dd5461ab2167a61e98caac1
4	mm: filemap: fix nr_pages calculation overflow in filemap_map_pages() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/9316a820b9aae07d44469d6485376dad824c5b3f)	https://git.kernel.org/stable/c/9316a820b9aae07d44469d6485376dad824c5b3f
5	mm: filemap: fix nr_pages calculation overflow in filemap_map_pages() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/f58df566524ebcdfa394329c64f47e3c9257516e)	https://git.kernel.org/stable/c/f58df566524ebcdfa394329c64f47e3c9257516e

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日12:32

NVD脆弱性情報

CVE-2026-31648

概要	In the Linux kernel, the following vulnerability has been resolved: mm: filemap: fix nr_pages calculation overflow in filemap_map_pages() When running stress-ng on my Arm64 machine with v7.0-rc3 kernel, I encountered some very strange crash issues showing up as "Bad page state": " [ 734.496287] BUG: Bad page state in process stress-ng-env pfn:415735fb [ 734.496427] page: refcount:0 mapcount:1 mapping:0000000000000000 index:0x4cf316 pfn:0x415735fb [ 734.496434] flags: 0x57fffe000000800(owner_2\|node=1\|zone=2\|lastcpupid=0x3ffff) [ 734.496439] raw: 057fffe000000800 0000000000000000 dead000000000122 0000000000000000 [ 734.496440] raw: 00000000004cf316 0000000000000000 0000000000000000 0000000000000000 [ 734.496442] page dumped because: nonzero mapcount " After analyzing this page’s state, it is hard to understand why the mapcount is not 0 while the refcount is 0, since this page is not where the issue first occurred. By enabling the CONFIG_DEBUG_VM config, I can reproduce the crash as well and captured the first warning where the issue appears: " [ 734.469226] page: refcount:33 mapcount:0 mapping:00000000bef2d187 index:0x81a0 pfn:0x415735c0 [ 734.469304] head: order:5 mapcount:0 entire_mapcount:0 nr_pages_mapped:0 pincount:0 [ 734.469315] memcg:ffff000807a8ec00 [ 734.469320] aops:ext4_da_aops ino:100b6f dentry name(?):"stress-ng-mmaptorture-9397-0-2736200540" [ 734.469335] flags: 0x57fffe400000069(locked\|uptodate\|lru\|head\|node=1\|zone=2\|lastcpupid=0x3ffff) ...... [ 734.469364] page dumped because: VM_WARN_ON_FOLIO((_Generic((page + nr_pages - 1), const struct page : (const struct folio )_compound_head(page + nr_pages - 1), struct page : (struct folio )_compound_head(page + nr_pages - 1))) != folio) [ 734.469390] ------------[ cut here ]------------ [ 734.469393] WARNING: ./include/linux/rmap.h:351 at folio_add_file_rmap_ptes+0x3b8/0x468, CPU#90: stress-ng-mlock/9430 [ 734.469551] folio_add_file_rmap_ptes+0x3b8/0x468 (P) [ 734.469555] set_pte_range+0xd8/0x2f8 [ 734.469566] filemap_map_folio_range+0x190/0x400 [ 734.469579] filemap_map_pages+0x348/0x638 [ 734.469583] do_fault_around+0x140/0x198 ...... [ 734.469640] el0t_64_sync+0x184/0x188 " The code that triggers the warning is: "VM_WARN_ON_FOLIO(page_folio(page + nr_pages - 1) != folio, folio)", which indicates that set_pte_range() tried to map beyond the large folio’s size. By adding more debug information, I found that 'nr_pages' had overflowed in filemap_map_pages(), causing set_pte_range() to establish mappings for a range exceeding the folio size, potentially corrupting fields of pages that do not belong to this folio (e.g., page->_mapcount). After above analysis, I think the possible race is as follows: CPU 0 CPU 1 filemap_map_pages() ext4_setattr() //get and lock folio with old inode->i_size next_uptodate_folio() ....... //shrink the inode->i_size i_size_write(inode, attr->ia_size); //calculate the end_pgoff with the new inode->i_size file_end = DIV_ROUND_UP(i_size_read(mapping->host), PAGE_SIZE) - 1; end_pgoff = min(end_pgoff, file_end); ...... //nr_pages can be overflowed, cause xas.xa_index > end_pgoff end = folio_next_index(folio) - 1; nr_pages = min(end, end_pgoff) - xas.xa_index + 1; ...... //map large folio filemap_map_folio_range() ...... //truncate folios truncate_pagecache(inode, inode->i_size); To fix this issue, move the 'end_pgoff' calculation before next_uptodate_folio(), so the retrieved folio stays consistent with the file end to avoid ---truncated---
公表日	2026年4月25日0:16
登録日	2026年4月25日4:08
最終更新日	2026年4月28日0:16

No	URL	refsource
1	https://git.kernel.org/stable/c/576543bedd616254032d4ebe54a90076f9e31740	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/633ab680c405ac390e6bec5b74aaf46197c837b6	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/88591194df736a508dd5461ab2167a61e98caac1	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/9316a820b9aae07d44469d6485376dad824c5b3f	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/f58df566524ebcdfa394329c64f47e3c9257516e	416baaa9-dc9f-4396-8d5f-8c081fb06d67