製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける任意の場所に任意の値を書き込み可能な状態に関する脆弱性

タイトル	LinuxのLinux Kernelにおける任意の場所に任意の値を書き込み可能な状態に関する脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました。xfrm: esp: 共有されたskbフラグメント上でのインプレース復号を回避します。MSG_SPLICE_PAGESはパイプから直接ページをskbに接続できます。TCPはskb_splice_from_iter()後にそのようなskbをSKBFL_SHARED_FRAGでマークし、パケットデータを変更する可能性のある後続の経路がまずプライベートコピーを作成できるようにします。しかし、IPv4/IPv6のデータグラム追加経路はUDP skbにページをスプライスする際にこのフラグを設定していませんでした。これにより、共有パイプページから作成されたESP-in-UDPパケットは、普通のクローンされていない非線形skbのように見えました。ESP入力はフラグメントリストのないクローンされていないskbに対してNo-COW高速パスを使い、skbがプライベートに所有していないデータ上にインプレースで復号します。IPv4/IPv6のデータグラムスプライスフラグメントにSKBFL_SHARED_FRAGをTCPに合わせてマークします。また、ESP入力はこのフラグが存在する場合skb_cow_data()にフォールバックし、ESPが外部でサポートされているフラグメント上でインプレース復号しないようにします。プライベートな非線形skbフラグメントは従来の高速パスを引き続き使用します。この変更はESP出力に意図的に影響を与えません。esp_output_head()内では、skb_cow_data()を呼ばず既存のskbテールルームにESPトレーラを追加する経路は非線形skbに対して到達不能です。skb_tailroom()はskb-data_lenが非ゼロの場合ゼロを返し、ESPのtailenは正であるためです。したがって、ESP出力は別の宛先フラグメントパスを使用するかskb_cow_data()にフォールバックします。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月8日0:00
登録日	2026年5月11日11:05
最終更新日	2026年5月11日11:05

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 4.11 以上 5.10.255 未満

Linux Kernel 5.12 以上 5.15.205 未満

Linux Kernel 5.16 以上 6.1.171 未満

Linux Kernel 6.13 以上 6.18.28 未満

Linux Kernel 6.2 以上 6.6.138 未満

Linux Kernel 6.7 以上 6.12.87 未満

Linux Kernel 7.0 以上 7.0.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43284	https://www.cve.org/CVERecord?id=CVE-2026-43284
National Vulnerability Database (NVD)
2	CVE-2026-43284	https://nvd.nist.gov/vuln/detail/CVE-2026-43284

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-123	https://cwe.mitre.org/data/definitions/123.html

ベンダー情報

No	名前	URL
GitHub
1	GitHub - V4bel/dirtyfrag GitHub	https://github.com/V4bel/dirtyfrag

その他

No	名前	URL
関連文書
1	oss-security - Re: Dirty Frag: Universal Linux LPE	http://www.openwall.com/lists/oss-security/2026/05/08/7
2	xfrm: esp: avoid in-place decrypt on shared skb frags - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/50ed1e7873100f77abad20fd31c51029bc49cd03)	https://git.kernel.org/stable/c/50ed1e7873100f77abad20fd31c51029bc49cd03
3	xfrm: esp: avoid in-place decrypt on shared skb frags - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/52646cbd00e765a6db9c3afe9535f26218276034)	https://git.kernel.org/stable/c/52646cbd00e765a6db9c3afe9535f26218276034
4	xfrm: esp: avoid in-place decrypt on shared skb frags - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/5d55c7336f8032d434adcc5fab987ccc93a44aec)	https://git.kernel.org/stable/c/5d55c7336f8032d434adcc5fab987ccc93a44aec
5	xfrm: esp: avoid in-place decrypt on shared skb frags - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/71a1d9d985d26716f74d21f18ee8cac821b06e97)	https://git.kernel.org/stable/c/71a1d9d985d26716f74d21f18ee8cac821b06e97
6	xfrm: esp: avoid in-place decrypt on shared skb frags - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/a6cb440f274a22456ef3e86b457344f1678f38f9)	https://git.kernel.org/stable/c/a6cb440f274a22456ef3e86b457344f1678f38f9
7	xfrm: esp: avoid in-place decrypt on shared skb frags - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/ab8b995323e5237041472d07e5055f5f7dcdf15b)	https://git.kernel.org/stable/c/ab8b995323e5237041472d07e5055f5f7dcdf15b
8	xfrm: esp: avoid in-place decrypt on shared skb frags - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/b54edf1e9a3fd3491bdcb82a21f8d21315271e0d)	https://git.kernel.org/stable/c/b54edf1e9a3fd3491bdcb82a21f8d21315271e0d
9	xfrm: esp: ipv4: fix up flags setting - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/8253aab4659ca16116b522203c2a6b18dccacea7)	https://git.kernel.org/stable/c/8253aab4659ca16116b522203c2a6b18dccacea7
10	xfrm: esp: ipv4: fix up flags setting - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/fe785bb3a8096dffcc4048a85cd0c83337eeecad)	https://git.kernel.org/stable/c/fe785bb3a8096dffcc4048a85cd0c83337eeecad

変更履歴

No	変更内容	変更日
1	[2026年05月11日] 掲載	2026年5月11日11:05

NVD脆弱性情報

CVE-2026-43284

概要	In the Linux kernel, the following vulnerability has been resolved: xfrm: esp: avoid in-place decrypt on shared skb frags MSG_SPLICE_PAGES can attach pages from a pipe directly to an skb. TCP marks such skbs with SKBFL_SHARED_FRAG after skb_splice_from_iter(), so later paths that may modify packet data can first make a private copy. The IPv4/IPv6 datagram append paths did not set this flag when splicing pages into UDP skbs. That leaves an ESP-in-UDP packet made from shared pipe pages looking like an ordinary uncloned nonlinear skb. ESP input then takes the no-COW fast path for uncloned skbs without a frag_list and decrypts in place over data that is not owned privately by the skb. Mark IPv4/IPv6 datagram splice frags with SKBFL_SHARED_FRAG, matching TCP. Also make ESP input fall back to skb_cow_data() when the flag is present, so ESP does not decrypt externally backed frags in place. Private nonlinear skb frags still use the existing fast path. This intentionally does not change ESP output. In esp_output_head(), the path that appends the ESP trailer to existing skb tailroom without calling skb_cow_data() is not reachable for nonlinear skbs: skb_tailroom() returns zero when skb->data_len is nonzero, while ESP tailen is positive. Thus ESP output will either use the separate destination-frag path or fall back to skb_cow_data().
公表日	2026年5月8日17:16
登録日	2026年5月9日4:12
最終更新日	2026年5月9日0:16

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:linux:linux_kernel::::::::	4.11			5.10.255
cpe:2.3:o:linux:linux_kernel::::::::	5.12			5.15.205
cpe:2.3:o:linux:linux_kernel::::::::	5.16			6.1.171
cpe:2.3:o:linux:linux_kernel::::::::	6.2			6.6.138
cpe:2.3:o:linux:linux_kernel::::::::	6.7			6.12.87
cpe:2.3:o:linux:linux_kernel::::::::	6.13			6.18.28
cpe:2.3:o:linux:linux_kernel::::::::	7.0			7.0.5

No	URL	refsource
1	https://git.kernel.org/stable/c/50ed1e7873100f77abad20fd31c51029bc49cd03	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/52646cbd00e765a6db9c3afe9535f26218276034	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/5d55c7336f8032d434adcc5fab987ccc93a44aec	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/71a1d9d985d26716f74d21f18ee8cac821b06e97	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/8253aab4659ca16116b522203c2a6b18dccacea7	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/a6cb440f274a22456ef3e86b457344f1678f38f9	416baaa9-dc9f-4396-8d5f-8c081fb06d67
7	https://git.kernel.org/stable/c/ab8b995323e5237041472d07e5055f5f7dcdf15b	416baaa9-dc9f-4396-8d5f-8c081fb06d67
8	https://git.kernel.org/stable/c/b54edf1e9a3fd3491bdcb82a21f8d21315271e0d	416baaa9-dc9f-4396-8d5f-8c081fb06d67
9	https://git.kernel.org/stable/c/fe785bb3a8096dffcc4048a85cd0c83337eeecad	416baaa9-dc9f-4396-8d5f-8c081fb06d67
10	http://www.openwall.com/lists/oss-security/2026/05/08/7	af854a3a-2127-422b-91ae-364da2661108
11	https://github.com/V4bel/dirtyfrag	134c704f-9b21-4f2e-91b3-4a467353bcc0