製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性

タイトル	LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました。ALSAの6fireドライバにおける切断時のuse-after-freeの問題です。usb6fire_chip_abort()内で、chip構造体はsnd_card_newにより割り当てられたカードのプライベートデータ（struct sfire_chipのサイズ）として管理されています。snd_card_free_when_closed()が呼ばれ、開かれているファイルハンドルがなくなると、カードとその内部のchipは同期的に解放されます。しかし、その後chip-card = NULLへの書き込みが解放済みのスラブメモリに対して行われてしまいます。コールトレースは以下の通りです。usb6fire_chip_abortはsound/usb/6fire/chip.cの59行目（インライン）、usb6fire_chip_disconnectは182行目、usb_unbind_interfaceはdrivers/usb/core/driver.cの458行目などにあります。修正内容は、カードのライフサイクル管理をusb6fire_chip_abort()からusb6fire_chip_disconnect()に移動することです。カードポインタをローカルに保存し、tear down前にsnd_card_disconnect()を最初に呼び出して新規のオープンを防止します。URBはchipが有効な間に中断され、最後にsnd_card_free_when_closed()を呼び出すことで、カード解放後にchipへのアクセスが発生しないようにしました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年4月24日0:00
登録日	2026年4月30日12:33
最終更新日	2026年4月30日12:33

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 6.12 以上 6.12.83 未満

Linux Kernel 6.13 以上 6.18.24 未満

Linux Kernel 6.19 以上 6.19.14 未満

Linux Kernel 6.6.136 未満

Linux Kernel 7.0 以上 7.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-31581	https://www.cve.org/CVERecord?id=CVE-2026-31581
National Vulnerability Database (NVD)
2	CVE-2026-31581	https://nvd.nist.gov/vuln/detail/CVE-2026-31581

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-416	https://cwe.mitre.org/data/definitions/416.html

その他

No	名前	URL
関連文書
1	ALSA: 6fire: fix use-after-free on disconnect - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/3dc20d1981d6a67d8184498a5da272942dde1e65)	https://git.kernel.org/stable/c/3dc20d1981d6a67d8184498a5da272942dde1e65
2	ALSA: 6fire: fix use-after-free on disconnect - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/51f6532790b74ffdd6970bc848358a2838c1c185)	https://git.kernel.org/stable/c/51f6532790b74ffdd6970bc848358a2838c1c185
3	ALSA: 6fire: fix use-after-free on disconnect - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/af75b486f7e883e3422ece23c8d727e6815144a0)	https://git.kernel.org/stable/c/af75b486f7e883e3422ece23c8d727e6815144a0
4	ALSA: 6fire: fix use-after-free on disconnect - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/b9c826916fdce6419b94eb0cd8810fdac18c2386)	https://git.kernel.org/stable/c/b9c826916fdce6419b94eb0cd8810fdac18c2386
5	ALSA: 6fire: fix use-after-free on disconnect - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/d21e8a2af4869b5890b34e081d5aeadc93e9cd5c)	https://git.kernel.org/stable/c/d21e8a2af4869b5890b34e081d5aeadc93e9cd5c
6	ALSA: 6fire: fix use-after-free on disconnect - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/e88354b381e2006de63d6b052ed7005c9a47d00e)	https://git.kernel.org/stable/c/e88354b381e2006de63d6b052ed7005c9a47d00e

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日12:33

NVD脆弱性情報

CVE-2026-31581

概要	In the Linux kernel, the following vulnerability has been resolved: ALSA: 6fire: fix use-after-free on disconnect In usb6fire_chip_abort(), the chip struct is allocated as the card's private data (via snd_card_new with sizeof(struct sfire_chip)). When snd_card_free_when_closed() is called and no file handles are open, the card and embedded chip are freed synchronously. The subsequent chip->card = NULL write then hits freed slab memory. Call trace: usb6fire_chip_abort sound/usb/6fire/chip.c:59 [inline] usb6fire_chip_disconnect+0x348/0x358 sound/usb/6fire/chip.c:182 usb_unbind_interface+0x1a8/0x88c drivers/usb/core/driver.c:458 ... hub_event+0x1a04/0x4518 drivers/usb/core/hub.c:5953 Fix by moving the card lifecycle out of usb6fire_chip_abort() and into usb6fire_chip_disconnect(). The card pointer is saved in a local before any teardown, snd_card_disconnect() is called first to prevent new opens, URBs are aborted while chip is still valid, and snd_card_free_when_closed() is called last so chip is never accessed after the card may be freed.
公表日	2026年4月25日0:16
登録日	2026年4月25日4:07
最終更新日	2026年4月27日23:16

No	URL	refsource
1	https://git.kernel.org/stable/c/3dc20d1981d6a67d8184498a5da272942dde1e65	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/51f6532790b74ffdd6970bc848358a2838c1c185	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/af75b486f7e883e3422ece23c8d727e6815144a0	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/b9c826916fdce6419b94eb0cd8810fdac18c2386	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/d21e8a2af4869b5890b34e081d5aeadc93e9cd5c	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/e88354b381e2006de63d6b052ed7005c9a47d00e	416baaa9-dc9f-4396-8d5f-8c081fb06d67