製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性

タイトル	LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました：net: qrtr: ns: driverのremove()におけるuse-after-free問題です。removeコールバック内で、destroy_workqueue()が呼ばれた後、しかしsock_release()が呼ばれる前にパケットが到着すると、qrtr_ns_data_ready()コールバックがワークをキューに入れようとし、use-after-free問題が発生します。この問題は、qrtr_ns_init()時にデフォルトの'sk_data_ready'コールバックを保存し、remove()の開始時にqrtr_ns_data_ready()コールバックの代わりに使用することで修正されました。これにより、destroy_workqueue()後にパケットが到着しても、ワーク構造体が不正に参照されることはありません。また、RXスレッドがqrtr_ns_data_ready()コールバックを使用している可能性があるため、ワークキューを破壊する前にRXスレッドの完了を確実にする必要があります。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年5月27日0:00
登録日	2026年6月17日15:40
最終更新日	2026年6月17日15:40

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 5.11 以上 5.15.209 未満

Linux Kernel 5.16 以上 6.1.175 未満

Linux Kernel 5.7 以上 5.10.258 未満

Linux Kernel 6.13 以上 6.18.27 未満

Linux Kernel 6.19 以上 7.0.4 未満

Linux Kernel 6.2 以上 6.6.140 未満

Linux Kernel 6.7 以上 6.12.86 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-46047	https://www.cve.org/CVERecord?id=CVE-2026-46047
National Vulnerability Database (NVD)
2	CVE-2026-46047	https://nvd.nist.gov/vuln/detail/CVE-2026-46047

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-416	https://cwe.mitre.org/data/definitions/416.html

その他

No	名前	URL
関連文書
1	net: qrtr: ns: Fix use-after-free in driver remove() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/0f313eb6a8f6dffa491373cf3afab979fa1c02f4)	https://git.kernel.org/stable/c/0f313eb6a8f6dffa491373cf3afab979fa1c02f4
2	net: qrtr: ns: Fix use-after-free in driver remove() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/2e127ceb1c415e246076d8e09e23e443a7a2038f)	https://git.kernel.org/stable/c/2e127ceb1c415e246076d8e09e23e443a7a2038f
3	net: qrtr: ns: Fix use-after-free in driver remove() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/4ae0bd51bf7079e9c2a06b5de0ae04ba70d10167)	https://git.kernel.org/stable/c/4ae0bd51bf7079e9c2a06b5de0ae04ba70d10167
4	net: qrtr: ns: Fix use-after-free in driver remove() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/65168712c216584ff482a7d1a67589f2079b2634)	https://git.kernel.org/stable/c/65168712c216584ff482a7d1a67589f2079b2634
5	net: qrtr: ns: Fix use-after-free in driver remove() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/7809fea20c9404bfcfa6112ec08d1fe1d3520beb)	https://git.kernel.org/stable/c/7809fea20c9404bfcfa6112ec08d1fe1d3520beb
6	net: qrtr: ns: Fix use-after-free in driver remove() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/db3c60ec772de30acae92d560dfcc5258e58dbe8)	https://git.kernel.org/stable/c/db3c60ec772de30acae92d560dfcc5258e58dbe8
7	net: qrtr: ns: Fix use-after-free in driver remove() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/dff081c3602f2fd810f69ef47945a226980dd05d)	https://git.kernel.org/stable/c/dff081c3602f2fd810f69ef47945a226980dd05d
8	net: qrtr: ns: Fix use-after-free in driver remove() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/f96779e916576e81430ebb326baff6e433fef8ae)	https://git.kernel.org/stable/c/f96779e916576e81430ebb326baff6e433fef8ae

変更履歴

No	変更内容	変更日
1	[2026年06月17日] 掲載	2026年6月17日15:40

NVD脆弱性情報

CVE-2026-46047

概要	In the Linux kernel, the following vulnerability has been resolved: net: qrtr: ns: Fix use-after-free in driver remove() In the remove callback, if a packet arrives after destroy_workqueue() is called, but before sock_release(), the qrtr_ns_data_ready() callback will try to queue the work, causing use-after-free issue. Fix this issue by saving the default 'sk_data_ready' callback during qrtr_ns_init() and use it to replace the qrtr_ns_data_ready() callback at the start of remove(). This ensures that even if a packet arrives after destroy_workqueue(), the work struct will not be dereferenced. Note that it is also required to ensure that the RX threads are completed before destroying the workqueue, because the threads could be using the qrtr_ns_data_ready() callback.
公表日	2026年5月27日23:17
登録日	2026年5月28日4:13
最終更新日	2026年6月2日2:17

No	URL	refsource
1	https://git.kernel.org/stable/c/0f313eb6a8f6dffa491373cf3afab979fa1c02f4	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/2e127ceb1c415e246076d8e09e23e443a7a2038f	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/4ae0bd51bf7079e9c2a06b5de0ae04ba70d10167	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/65168712c216584ff482a7d1a67589f2079b2634	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/7809fea20c9404bfcfa6112ec08d1fe1d3520beb	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/db3c60ec772de30acae92d560dfcc5258e58dbe8	416baaa9-dc9f-4396-8d5f-8c081fb06d67
7	https://git.kernel.org/stable/c/dff081c3602f2fd810f69ef47945a226980dd05d	416baaa9-dc9f-4396-8d5f-8c081fb06d67
8	https://git.kernel.org/stable/c/f96779e916576e81430ebb326baff6e433fef8ae	416baaa9-dc9f-4396-8d5f-8c081fb06d67