製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux KernelにおけるNULL ポインタデリファレンスに関する脆弱性

タイトル	LinuxのLinux KernelにおけるNULL ポインタデリファレンスに関する脆弱性
概要	Linuxカーネルにおいて、net/schedのsch_redで直接的なdequeue呼び出しをpeekとqdisc_dequeue_peekedに置き換える修正が行われました。この脆弱性は、redキューイングディシプリン（qdisc）が子を持つ場合に、peek()コールバックがqdisc_peek_dequeued()である際にカーネルパニックを引き起こす可能性がありました。具体的には、親qdiscが子（red）からskbを取得しようとすると、peek()で子の子（qfq）を正しく覗き見るものの、dequeue()呼び出し時にnullポインタ参照によってカーネルパニックが発生していました。本パッチはこの問題を、dequeue呼び出しをqdisc_dequeue_peeked()を使用する形に修正することで解決しました。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年5月21日0:00
登録日	2026年6月29日11:18
最終更新日	2026年6月29日11:18

CVSS3.0 : 警告
スコア	5.5
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

Linux

Linux Kernel 2.6.29 以上 5.10.258 未満

Linux Kernel 5.11 以上 5.15.209 未満

Linux Kernel 5.16 以上 6.1.175 未満

Linux Kernel 6.13 以上 6.18.30 未満

Linux Kernel 6.19 以上 7.0.7 未満

Linux Kernel 6.2 以上 6.6.140 未満

Linux Kernel 6.7 以上 6.12.88 未満

Linux Kernel 7.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43496	https://www.cve.org/CVERecord?id=CVE-2026-43496
National Vulnerability Database (NVD)
2	CVE-2026-43496	https://nvd.nist.gov/vuln/detail/CVE-2026-43496

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-476	http://cwe.mitre.org/data/definitions/476.html

その他

No	名前	URL
関連文書
1	net/sched: sch_red: Replace direct dequeue call with peek and qdisc_dequeue_peeked - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/03b0aaeba082ae981a0dfe96cdd03d02050537a1)	https://git.kernel.org/stable/c/03b0aaeba082ae981a0dfe96cdd03d02050537a1
2	net/sched: sch_red: Replace direct dequeue call with peek and qdisc_dequeue_peeked - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/36aa34f42cb6842cf371f3a2d3e855d24fd57a50)	https://git.kernel.org/stable/c/36aa34f42cb6842cf371f3a2d3e855d24fd57a50
3	net/sched: sch_red: Replace direct dequeue call with peek and qdisc_dequeue_peeked - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/458d5615272d3de535748342eb68ca492343048c)	https://git.kernel.org/stable/c/458d5615272d3de535748342eb68ca492343048c
4	net/sched: sch_red: Replace direct dequeue call with peek and qdisc_dequeue_peeked - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/45cd83c5c470ba49fe261489c8358ad7b9df7c45)	https://git.kernel.org/stable/c/45cd83c5c470ba49fe261489c8358ad7b9df7c45
5	net/sched: sch_red: Replace direct dequeue call with peek and qdisc_dequeue_peeked - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/587dcf970a525f543d8b5855d9f37a4ca97b76ef)	https://git.kernel.org/stable/c/587dcf970a525f543d8b5855d9f37a4ca97b76ef
6	net/sched: sch_red: Replace direct dequeue call with peek and qdisc_dequeue_peeked - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/8d09618840b99ef00154d3e731ce9b11e096196d)	https://git.kernel.org/stable/c/8d09618840b99ef00154d3e731ce9b11e096196d
7	net/sched: sch_red: Replace direct dequeue call with peek and qdisc_dequeue_peeked - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/c7335f4dc0fa21f7015b910c6fc2f4d599732328)	https://git.kernel.org/stable/c/c7335f4dc0fa21f7015b910c6fc2f4d599732328
8	net/sched: sch_red: Replace direct dequeue call with peek and qdisc_dequeue_peeked - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/ce051eede433f876d322ac3550a36a3c6fc4c231)	https://git.kernel.org/stable/c/ce051eede433f876d322ac3550a36a3c6fc4c231

変更履歴

No	変更内容	変更日
1	[2026年06月29日] 掲載	2026年6月29日11:18

NVD脆弱性情報

CVE-2026-43496

概要	In the Linux kernel, the following vulnerability has been resolved: net/sched: sch_red: Replace direct dequeue call with peek and qdisc_dequeue_peeked When red qdisc has children (eg qfq qdisc) whose peek() callback is qdisc_peek_dequeued(), we could get a kernel panic. When the parent of such qdiscs (eg illustrated in patch #3 as tbf) wants to retrieve an skb from its child (red in this case), it will do the following: 1a. do a peek() - and when sensing there's an skb the child can offer, then - the child in this case(red) calls its child's (qfq) peek. qfq does the right thing and will return the gso_skb queue packet. Note: if there wasnt a gso_skb entry then qfq will store it there. 1b. invoke a dequeue() on the child (red). And herein lies the problem. - red will call the child's dequeue() which will essentially just try to grab something of qfq's queue. [ 78.667668][ T363] KASAN: null-ptr-deref in range [0x0000000000000048-0x000000000000004f] [ 78.667927][ T363] CPU: 1 UID: 0 PID: 363 Comm: ping Not tainted 7.1.0-rc1-00033-g46f74a3f7d57-dirty #790 PREEMPT(full) [ 78.668263][ T363] Hardware name: Bochs Bochs, BIOS Bochs 01/01/2011 [ 78.668486][ T363] RIP: 0010:qfq_dequeue+0x446/0xc90 [sch_qfq] [ 78.668718][ T363] Code: 54 c0 e8 dd 90 00 f1 48 c7 c7 e0 03 54 c0 48 89 de e8 ce 90 00 f1 48 8d 7b 48 b8 ff ff 37 00 48 89 fa 48 c1 e0 2a 48 c1 ea 03 <80> 3c 02 00 74 05 e8 ef a1 e1 f1 48 8b 7b 48 48 8d 54 24 58 48 8d [ 78.669312][ T363] RSP: 0018:ffff88810de573e0 EFLAGS: 00010216 [ 78.669533][ T363] RAX: dffffc0000000000 RBX: 0000000000000000 RCX: 0000000000000000 [ 78.669790][ T363] RDX: 0000000000000009 RSI: 0000000000000004 RDI: 0000000000000048 [ 78.670044][ T363] RBP: ffff888110dc4000 R08: ffffffffb1b0885a R09: fffffbfff6ba9078 [ 78.670297][ T363] R10: 0000000000000003 R11: ffff888110e31c80 R12: 0000001880000000 [ 78.670560][ T363] R13: ffff888110dc4150 R14: ffff888110dc42b8 R15: 0000000000000200 [ 78.670814][ T363] FS: 00007f66a8f09c40(0000) GS:ffff888163428000(0000) knlGS:0000000000000000 [ 78.671110][ T363] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 78.671324][ T363] CR2: 000055db4c6a30a8 CR3: 000000010da67000 CR4: 0000000000750ef0 [ 78.671585][ T363] PKRU: 55555554 [ 78.671713][ T363] Call Trace: [ 78.671843][ T363] <TASK> [ 78.671936][ T363] ? __pfx_qfq_dequeue+0x10/0x10 [sch_qfq] [ 78.672148][ T363] ? __pfx__printk+0x10/0x10 [ 78.672322][ T363] ? srso_alias_return_thunk+0x5/0xfbef5 [ 78.672496][ T363] ? lockdep_hardirqs_on_prepare+0xa8/0x1a0 [ 78.672706][ T363] ? srso_alias_return_thunk+0x5/0xfbef5 [ 78.672875][ T363] ? trace_hardirqs_on+0x19/0x1a0 [ 78.673047][ T363] red_dequeue+0x65/0x270 [sch_red] [ 78.673217][ T363] ? srso_alias_return_thunk+0x5/0xfbef5 [ 78.673385][ T363] tbf_dequeue.cold+0xb0/0x70c [sch_tbf] [ 78.673566][ T363] __qdisc_run+0x169/0x1900 The right thing to do in #1b is to grab the skb off gso_skb queue. This patchset fixes that issue by changing #1b to use qdisc_dequeue_peeked() method instead.
公表日	2026年5月21日22:16
登録日	2026年5月22日4:07
最終更新日	2026年5月23日1:33

No	URL	refsource
1	https://git.kernel.org/stable/c/36aa34f42cb6842cf371f3a2d3e855d24fd57a50	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/458d5615272d3de535748342eb68ca492343048c	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/587dcf970a525f543d8b5855d9f37a4ca97b76ef	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/8d09618840b99ef00154d3e731ce9b11e096196d	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/ce051eede433f876d322ac3550a36a3c6fc4c231	416baaa9-dc9f-4396-8d5f-8c081fb06d67