製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性

タイトル	LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性
概要	Linuxカーネルのserial: caifモジュールにおいて、ldisc_close()関数内でのuse-after-free脆弱性が修正されました。この脆弱性は、caif_serialのhandle_tx()関数がttyが解放された後にser-ttyにアクセスしてしまうことで発生し、ldisc_close()とパケット送信の間の競合状態が原因です。原因はldisc_close()の中でtty_kref_put()が呼ばれ、ネットワークデバイスがまだアクティブな状態にあるため、serとttyのライフサイクルが一致していなかったことにあります。この問題を解決するため、ttyの参照解放処理をunregister_netdevice()の後に移動し、ネットワークデバイスが存在する限りttyの参照を保持するように変更しました。こうしてuse-after-freeを防止しています。なお、再現方法としてldisc_close()の先頭にmdelay(500)を挿入し、再現性を高める手法が用いられています。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年5月27日0:00
登録日	2026年6月26日12:00
最終更新日	2026年6月26日12:00

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 3.11 以上 5.10.252 未満

Linux Kernel 5.11 以上 5.15.202 未満

Linux Kernel 5.16 以上 6.1.165 未満

Linux Kernel 6.13 以上 6.18.14 未満

Linux Kernel 6.19 以上 6.19.4 未満

Linux Kernel 6.2 以上 6.6.128 未満

Linux Kernel 6.7 以上 6.12.75 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45866	https://www.cve.org/CVERecord?id=CVE-2026-45866
National Vulnerability Database (NVD)
2	CVE-2026-45866	https://nvd.nist.gov/vuln/detail/CVE-2026-45866

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-416	https://cwe.mitre.org/data/definitions/416.html

その他

No	名前	URL
関連文書
1	serial: caif: fix use-after-free in caif_serial ldisc_close() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/308e7e4d0a846359685f40aade023aee7b27284c)	https://git.kernel.org/stable/c/308e7e4d0a846359685f40aade023aee7b27284c
2	serial: caif: fix use-after-free in caif_serial ldisc_close() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/331e2b7051635780edea248dd08ae2026c126f4a)	https://git.kernel.org/stable/c/331e2b7051635780edea248dd08ae2026c126f4a
3	serial: caif: fix use-after-free in caif_serial ldisc_close() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/40962f2bf8cdba63af23aec95ad3f49b689e58e2)	https://git.kernel.org/stable/c/40962f2bf8cdba63af23aec95ad3f49b689e58e2
4	serial: caif: fix use-after-free in caif_serial ldisc_close() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/4e63d6f68544ae5269ac9735ae5b69b59b5b8725)	https://git.kernel.org/stable/c/4e63d6f68544ae5269ac9735ae5b69b59b5b8725
5	serial: caif: fix use-after-free in caif_serial ldisc_close() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/52731ef4438155cea782fac74e547a327ab9e7c5)	https://git.kernel.org/stable/c/52731ef4438155cea782fac74e547a327ab9e7c5
6	serial: caif: fix use-after-free in caif_serial ldisc_close() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/5e266ba8d330d3b8e5bc198f238cd8901826cfa1)	https://git.kernel.org/stable/c/5e266ba8d330d3b8e5bc198f238cd8901826cfa1
7	serial: caif: fix use-after-free in caif_serial ldisc_close() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/c8c197aaa56b25a2d54f3aa07e27e228d6c08546)	https://git.kernel.org/stable/c/c8c197aaa56b25a2d54f3aa07e27e228d6c08546
8	serial: caif: fix use-after-free in caif_serial ldisc_close() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/d3c75db4e0460641dbcd274b40867e252d801da1)	https://git.kernel.org/stable/c/d3c75db4e0460641dbcd274b40867e252d801da1

変更履歴

No	変更内容	変更日
1	[2026年06月26日] 掲載	2026年6月26日12:00

NVD脆弱性情報

CVE-2026-45866

概要	In the Linux kernel, the following vulnerability has been resolved: serial: caif: fix use-after-free in caif_serial ldisc_close() There is a use-after-free bug in caif_serial where handle_tx() may access ser->tty after the tty has been freed. The race condition occurs between ldisc_close() and packet transmission: CPU 0 (close) CPU 1 (xmit) ------------- ------------ ldisc_close() tty_kref_put(ser->tty) [tty may be freed here] <-- race window --> caif_xmit() handle_tx() tty = ser->tty // dangling ptr tty->ops->write() // UAF! schedule_work() ser_release() unregister_netdevice() The root cause is that tty_kref_put() is called in ldisc_close() while the network device is still active and can receive packets. Since ser and tty have a 1:1 binding relationship with consistent lifecycles (ser is allocated in ldisc_open and freed in ser_release via unregister_netdevice, and each ser binds exactly one tty), we can safely defer the tty reference release to ser_release() where the network device is unregistered. Fix this by moving tty_kref_put() from ldisc_close() to ser_release(), after unregister_netdevice(). This ensures the tty reference is held as long as the network device exists, preventing the UAF. Note: We save ser->tty before unregister_netdevice() because ser is embedded in netdev's private data and will be freed along with netdev (needs_free_netdev = true). How to reproduce: Add mdelay(500) at the beginning of ldisc_close() to widen the race window, then run the reproducer program [1]. Note: There is a separate deadloop issue in handle_tx() when using PORT_UNKNOWN serial ports (e.g., /dev/ttyS3 in QEMU without proper serial backend). This deadloop exists even without this patch, and is likely caused by inconsistency between uart_write_room() and uart_write() in serial core. It has been addressed in a separate patch [2]. KASAN report: ================================================================== BUG: KASAN: slab-use-after-free in handle_tx+0x5d1/0x620 Read of size 1 at addr ffff8881131e1490 by task caif_uaf_trigge/9929 Call Trace: <TASK> dump_stack_lvl+0x10e/0x1f0 print_report+0xd0/0x630 kasan_report+0xe4/0x120 handle_tx+0x5d1/0x620 dev_hard_start_xmit+0x9d/0x6c0 __dev_queue_xmit+0x6e2/0x4410 packet_xmit+0x243/0x360 packet_sendmsg+0x26cf/0x5500 __sys_sendto+0x4a3/0x520 __x64_sys_sendto+0xe0/0x1c0 do_syscall_64+0xc9/0xf80 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f615df2c0d7 Allocated by task 9930: Freed by task 64: Last potentially related work creation: The buggy address belongs to the object at ffff8881131e1000 which belongs to the cache kmalloc-cg-2k of size 2048 The buggy address is located 1168 bytes inside of freed 2048-byte region [ffff8881131e1000, ffff8881131e1800) The buggy address belongs to the physical page: page_owner tracks the page as allocated page last free pid 9778 tgid 9778 stack trace: Memory state around the buggy address: ffff8881131e1380: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ffff8881131e1400: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb >ffff8881131e1480: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ^ ffff8881131e1500: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ffff8881131e1580: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ================================================================== [1]: https://gist.github.com/mrpre/f683f244544f7b11e7fa87df9e6c2eeb [2]: https://lore.kernel.org/linux-serial/20260204074327.226165-1-jiayuan.chen@linux.dev/T/#u
公表日	2026年5月27日23:16
登録日	2026年5月28日4:11
最終更新日	2026年5月27日23:48

No	URL	refsource
1	https://git.kernel.org/stable/c/308e7e4d0a846359685f40aade023aee7b27284c	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/331e2b7051635780edea248dd08ae2026c126f4a	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/40962f2bf8cdba63af23aec95ad3f49b689e58e2	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/4e63d6f68544ae5269ac9735ae5b69b59b5b8725	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/52731ef4438155cea782fac74e547a327ab9e7c5	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/5e266ba8d330d3b8e5bc198f238cd8901826cfa1	416baaa9-dc9f-4396-8d5f-8c081fb06d67
7	https://git.kernel.org/stable/c/c8c197aaa56b25a2d54f3aa07e27e228d6c08546	416baaa9-dc9f-4396-8d5f-8c081fb06d67
8	https://git.kernel.org/stable/c/d3c75db4e0460641dbcd274b40867e252d801da1	416baaa9-dc9f-4396-8d5f-8c081fb06d67