| Title | LinuxのLinux Kernelにおける境界外書き込みに関する脆弱性 |
|---|---|
| Summary | Linuxカーネルにおいて、tracing/dmaのdma_map_sgトレースポイント配列のサイズ制限によりバッファオーバーフローを防止する修正が行われました。大量のスキャッターゲザーリストがperfバッファのオーバーフローを引き起こす問題に対処しています。具体的には、virtio-gpuなどのデバイスで大きなDRMバッファが作成され、1000を超えるエントリ数がある場合に、物理アドレス配列やdmaアドレス配列、長さ配列の合計サイズが約2万バイトとなり、PERF_MAX_TRACE_SIZEの8192バイトを超えて警告が発生していました。これを防ぐためにmin関数を用いて128エントリに制限し、必要な分だけメモリを確保することで、小規模操作での無駄な割当てを避け、大規模操作でのオーバーフローを防止しています。また、トレースポイントはエントリ数とトランケートフラグを記録し、データが制限されたかどうかをユーザーが確認できるようにしています。v2では動的配列サイズ決定にmin(nents, DMA_TRACE_MAX_ENTRIES)を用い、フィードバックを反映して改善しました。レビュアーはSean Anderson氏です。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | March 25, 2026, midnight |
| Registration Date | April 27, 2026, 10:53 a.m. |
| Last Update | April 27, 2026, 10:53 a.m. |
| CVSS3.0 : 重要 | |
| Score | 7.8 |
|---|---|
| Vector | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Linux |
| Linux Kernel 6.12 |
| Linux Kernel 6.12.1 以上 6.12.74 未満 |
| Linux Kernel 6.13 以上 6.18.13 未満 |
| Linux Kernel 6.19 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
April 27, 2026, 10:53 a.m. |
| Summary | In the Linux kernel, the following vulnerability has been resolved: tracing/dma: Cap dma_map_sg tracepoint arrays to prevent buffer overflow The dma_map_sg tracepoint can trigger a perf buffer overflow when phys_addrs: 1000 * 8 bytes = 8,000 bytes This exceeds PERF_MAX_TRACE_SIZE (8192 bytes), causing: WARNING: CPU: 0 PID: 5497 at kernel/trace/trace_event_perf.c:405 Cap all three dynamic arrays at 128 entries using min() in the array The tracepoint now records the full nents/ents counts and a truncated Changes in v2: Reviwed-by: Sean Anderson <sean.anderson@linux.dev> |
|---|---|
| Summary | En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta: tracing/dma: Limitar los arrays del tracepoint dma_map_sg para prevenir el desbordamiento de búfer El tracepoint dma_map_sg puede desencadenar un desbordamiento de búfer de perf al trazar listas grandes de scatter-gather. Con dispositivos como virtio-gpu creando búferes DRM grandes, nents puede exceder las 1000 entradas, resultando en: phys_addrs: 1000 * 8 bytes = 8.000 bytes Esto excede PERF_MAX_TRACE_SIZE (8192 bytes), causando: ADVERTENCIA: CPU: 0 PID: 5497 en kernel/trace/trace_event_perf.c:405 Limitar los tres arrays dinámicos a 128 entradas usando min() en el cálculo del tamaño del array. Esto asegura que los arrays sean solo tan grandes como sea necesario (hasta el límite), evitando la asignación de memoria innecesaria para operaciones pequeñas mientras se previene el desbordamiento para las grandes. El tracepoint ahora registra los conteos completos de nents/ents y un indicador de truncamiento para que los usuarios puedan ver cuándo los datos han sido limitados. Cambios en v2: Revisado por: Sean Anderson |
| Publication Date | March 25, 2026, 8:16 p.m. |
| Registration Date | April 27, 2026, 12:19 p.m. |
| Last Update | April 25, 2026, 3:32 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.12.1 | 6.12.74 | |||
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.13 | 6.18.13 | |||
| cpe:2.3:o:linux:linux_kernel:6.12:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc2:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc3:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc4:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc5:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc6:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc7:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc8:*:*:*:*:*:* | |||||