製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける境界外書き込みに関する脆弱性

タイトル	LinuxのLinux Kernelにおける境界外書き込みに関する脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました。ipv6_rpl_srh_rcv()はRFC 6554のソースルーティングヘッダーを展開し、次のセグメントをipv6_hdr-daddrに入れ替えた上で再圧縮し、古いヘッダーを取り除いて新しいヘッダーとIPv6ヘッダーを戻します。再圧縮されたSRHが拡大する際にmac_lenのヘッドルームを確保します。入れ替えによりセグメントがdaddrと共有する共通プレフィックス長が減る場合（CmprI=0, CmprE0, seg[0][0] != daddr[0]の場合は最大+8バイトまで）再圧縮したヘッダーが受信時より大きくなる可能性があります。pskb_expand_head()はsegments_left == 0のときにのみ実行されていたため、初期のセグメントではプッシュ時に未検査のヘッドルームを消費していました。skb_push()がデータ前にskb-mac_lenバイト未満を残してしまうと、skb_mac_header_rebuild()内のskb_set_mac_header(skb, -skb-mac_len)が(data - head) - mac_lenをu16 mac_headerフィールドに格納し、オーバーフローして約65530となり、その後のmemmove()がskb-headから約64KiB先までmac_lenバイトを書き込みます。この脆弱性は、CmprI=0, CmprE=15の二つのセグメントを持つタイプ3 SRHを含むAF_INET6/SOCK_RAW/IPV6_HDRINCLパケットをloデバイスで送信すると、一回通過後にヘッドルームが8に達し、KASANによってipv6_rthdr_rcvで14バイトの範囲外書き込みが報告される問題です。この問題は、残りの空き容量がプッシュサイズとmac_lenの合計より少ない場合にヘッドを拡張し、再構築後のMACヘッダーが収まるように十分な追加領域を要求することで修正されました。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年5月21日0:00
登録日	2026年6月29日11:18
最終更新日	2026年6月29日11:18

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 5.11 以上 5.15.209 未満

Linux Kernel 5.16 以上 6.1.175 未満

Linux Kernel 5.7 以上 5.10.258 未満

Linux Kernel 6.13 以上 6.18.27 未満

Linux Kernel 6.19 以上 7.0.4 未満

Linux Kernel 6.2 以上 6.6.140 未満

Linux Kernel 6.7 以上 6.12.86 未満

Linux Kernel 7.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43501	https://www.cve.org/CVERecord?id=CVE-2026-43501
National Vulnerability Database (NVD)
2	CVE-2026-43501	https://nvd.nist.gov/vuln/detail/CVE-2026-43501

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-787	https://cwe.mitre.org/data/definitions/787.html

その他

No	名前	URL
関連文書
1	ipv6: rpl: reserve mac_len headroom when recompressed SRH grows - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/0a9e8053f1f8a8e1bfc1dd61ffe67be6c1180402)	https://git.kernel.org/stable/c/0a9e8053f1f8a8e1bfc1dd61ffe67be6c1180402
2	ipv6: rpl: reserve mac_len headroom when recompressed SRH grows - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/4babc2d9fda2df43823b85d08a0180b68f1b0854)	https://git.kernel.org/stable/c/4babc2d9fda2df43823b85d08a0180b68f1b0854
3	ipv6: rpl: reserve mac_len headroom when recompressed SRH grows - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/7398ebefbfd4f8a31d4f665a4213302fa995494b)	https://git.kernel.org/stable/c/7398ebefbfd4f8a31d4f665a4213302fa995494b
4	ipv6: rpl: reserve mac_len headroom when recompressed SRH grows - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/8e8be63465a5e80394c70324603dfea1bfdad48f)	https://git.kernel.org/stable/c/8e8be63465a5e80394c70324603dfea1bfdad48f
5	ipv6: rpl: reserve mac_len headroom when recompressed SRH grows - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/9e6bf146b55999a095bb14f73a843942456d1adc)	https://git.kernel.org/stable/c/9e6bf146b55999a095bb14f73a843942456d1adc
6	ipv6: rpl: reserve mac_len headroom when recompressed SRH grows - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/bde199c72d319a4e207f88daabc888317504e2fb)	https://git.kernel.org/stable/c/bde199c72d319a4e207f88daabc888317504e2fb
7	ipv6: rpl: reserve mac_len headroom when recompressed SRH grows - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/be1fa0aa9b4fdd5a8b7a61ba520a690a68391e6e)	https://git.kernel.org/stable/c/be1fa0aa9b4fdd5a8b7a61ba520a690a68391e6e
8	ipv6: rpl: reserve mac_len headroom when recompressed SRH grows - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/c261d07a80576dc8ccf394ef8f074f8c67a06b37)	https://git.kernel.org/stable/c/c261d07a80576dc8ccf394ef8f074f8c67a06b37

変更履歴

No	変更内容	変更日
1	[2026年06月29日] 掲載	2026年6月29日11:18

NVD脆弱性情報

CVE-2026-43501

概要	In the Linux kernel, the following vulnerability has been resolved: ipv6: rpl: reserve mac_len headroom when recompressed SRH grows ipv6_rpl_srh_rcv() decompresses an RFC 6554 Source Routing Header, swaps the next segment into ipv6_hdr->daddr, recompresses, then pulls the old header and pushes the new one plus the IPv6 header back. The recompressed header can be larger than the received one when the swap reduces the common-prefix length the segments share with daddr (CmprI=0, CmprE>0, seg[0][0] != daddr[0] gives the maximum +8 bytes). pskb_expand_head() was gated on segments_left == 0, so on earlier segments the push consumed unchecked headroom. Once skb_push() leaves fewer than skb->mac_len bytes in front of data, skb_mac_header_rebuild()'s call to: skb_set_mac_header(skb, -skb->mac_len); will store (data - head) - mac_len into the u16 mac_header field, which wraps to ~65530, and the following memmove() writes mac_len bytes ~64KiB past skb->head. A single AF_INET6/SOCK_RAW/IPV6_HDRINCL packet over lo with a two segment type-3 SRH (CmprI=0, CmprE=15) reaches headroom 8 after one pass; KASAN reports a 14-byte OOB write in ipv6_rthdr_rcv. Fix this by expanding the head whenever the remaining room is less than the push size plus mac_len, and request that much extra so the rebuilt MAC header fits afterwards.
公表日	2026年5月21日22:16
登録日	2026年5月22日4:07
最終更新日	2026年5月23日1:33

No	URL	refsource
1	https://git.kernel.org/stable/c/4babc2d9fda2df43823b85d08a0180b68f1b0854	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/7398ebefbfd4f8a31d4f665a4213302fa995494b	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/8e8be63465a5e80394c70324603dfea1bfdad48f	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/9e6bf146b55999a095bb14f73a843942456d1adc	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/c261d07a80576dc8ccf394ef8f074f8c67a06b37	416baaa9-dc9f-4396-8d5f-8c081fb06d67