製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける不特定の脆弱性

Title	LinuxのLinux Kernelにおける不特定の脆弱性
Summary	Linuxカーネルにおいて、以下の脆弱性が修正されました。ALSAのctxfiで、DAIO初期化時にSPDIF1を列挙しないようにしました。最近のxfiドライバーのリファクタリングにより、atc_get_resources()内でのatc-daios[]の割り当てが変更されています。以前は一部のDAIOTYP列挙値のみをループしていましたが、現在はすべての列挙DAIOTYPエントリをループしています。問題は、最後のエントリであるSPDIF1が特殊なタイプであり、hw20k1 CTSB073Xモデル専用でSPDIFIOの代替として使われている一方で、hw20k2に対応する定義が存在しないことにあります。この情報不足のためにhw20k2でカーネルクラッシュが発生しましたが、これは既にコミットb045ab3dff97（"ALSA: ctxfi: Fix missing SPDIFI1 index handling"）で回避されています。本パッチは上記のリグレッションの根本原因を適切に対処し、パーサーループ内で不適切なSPDIF1タイプを単にスキップする処理を追加しています。また、変更を分かりやすくするためにコードの整理も若干行っています。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	May 1, 2026, midnight
Registration Date	May 8, 2026, 12:24 p.m.
Last Update	May 8, 2026, 12:24 p.m.

CVSS3.0 : 警告
Score	5.5
Vector	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Affected System

Linux

Linux Kernel 6.19 以上 6.19.12 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-31775	https://www.cve.org/CVERecord?id=CVE-2026-31775
National Vulnerability Database (NVD)
2	CVE-2026-31775	https://nvd.nist.gov/vuln/detail/CVE-2026-31775

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

その他

No	Name	URL
関連文書
1	ALSA: ctxfi: Don't enumerate SPDIF1 at DAIO initialization - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/75dc1980cf48826287e43dc7a49e310c6691f97e)	https://git.kernel.org/stable/c/75dc1980cf48826287e43dc7a49e310c6691f97e
2	ALSA: ctxfi: Don't enumerate SPDIF1 at DAIO initialization - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/a79c4c42057818bd9de45d2627464b4f0e02196a)	https://git.kernel.org/stable/c/a79c4c42057818bd9de45d2627464b4f0e02196a

Change Log

No	Changed Details	Date of change
1	[2026年05月08日] 掲載	May 8, 2026, 12:24 p.m.

NVD Vulnerability Information

CVE-2026-31775

Summary	In the Linux kernel, the following vulnerability has been resolved: ALSA: ctxfi: Don't enumerate SPDIF1 at DAIO initialization The recent refactoring of xfi driver changed the assignment of atc->daios[] at atc_get_resources(); now it loops over all enum DAIOTYP entries while it looped formerly only a part of them. The problem is that the last entry, SPDIF1, is a special type that is used only for hw20k1 CTSB073X model (as a replacement of SPDIFIO), and there is no corresponding definition for hw20k2. Due to the lack of the info, it caused a kernel crash on hw20k2, which was already worked around by the commit b045ab3dff97 ("ALSA: ctxfi: Fix missing SPDIFI1 index handling"). This patch addresses the root cause of the regression above properly, simply by skipping the incorrect SPDIF1 type in the parser loop. For making the change clearer, the code is slightly arranged, too.
Publication Date	May 2, 2026, 12:16 a.m.
Registration Date	May 2, 2026, 4:07 a.m.
Last Update	May 7, 2026, 11:28 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:linux:linux_kernel::::::::	6.19			6.19.12
cpe:2.3:o:linux:linux_kernel:7.0:rc1::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc2::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc3::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc4::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc5::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc6::::::

Related information, measures and tools

No	URL	refsource	タグ
1	https://git.kernel.org/stable/c/75dc1980cf48826287e43dc7a49e310c6691f97e	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/a79c4c42057818bd9de45d2627464b4f0e02196a	416baaa9-dc9f-4396-8d5f-8c081fb06d67

Common Vulnerabilities List