製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux KernelにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性

Title	LinuxのLinux KernelにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
Summary	Linuxカーネルにおいて、以下の脆弱性が修正されました。xfsにおけるattr dabtreeの非アクティブ化に伴うクラッシュウィンドウの閉鎖問題です。ノード形式の拡張属性を持つinodeを非アクティブ化する際、xfs_attr3_node_inactive()はxfs_trans_binval()を用いてすべての子のリーフおよびノードブロックを無効化しますが、親ノードブロックから対応するエントリを削除しません。この暗黙の前提は、xfs_attr_inactive()がその後attrフォーク全体をゼロエクステントに切り詰めるため、ログ回復時にルートノードに到達して古いポインタを追跡しないというものです。しかし、リーフおよびノードブロックの取消がコミットされた後、attr bmapの切り詰めがコミットされる前にログシャットダウンが発生した場合、この前提は崩れます。回復処理はattr bmapをそのまま再生します（inodeはまだattrフォークのエクステントを持っています）が、すべての取消されたリーフおよびノードブロックの再生を抑制し、それらがディスク上に古いデータとして残る可能性があります。次回のマウント時に、xlog_recover_process_iunlinks()は非アクティブ化を再試行し、attr bmap経由でルートノードを読み込もうとします。もしルートノードが再生されていなければ、読み込み時にすぐにメタデータ検証エラーが発生し、再生されていた場合でも、子ポインタをたどって未再生の子ブロックを読み込もうとして同じエラーが発生します。エラー例としては、XFS (pmem0): Metadata corruption detected at xfs_da3_node_read_verify+0x53/0x220, xfs_da3_node block 0x78、XFS (pmem0): Unmount and run xfs_repair、XFS (pmem0): First 128 bytes of corrupted metadata buffer: ...、XFS (pmem0): metadata I/O error in "xfs_da_read_buf+0x104/0x190" at daddr 0x78 len 8 error 117があります。修正点は2箇所あります。1つ目は、xfs_attr3_node_inactive()内で子ブロックに対してxfs_trans_binval()を呼び出した後、同一トランザクション内で直ちに親ノードからその子ブロックを参照するエントリを削除し、親が取消されたブロックを指し示す期間を排除します。すべての子が削除された後、空になったルートノードは同じトランザクション内でリーフブロックに変換されます。このノードからリーフへの変換はクラッシュ安全性のために必要です。空のノードがログに書き込まれた後、第二段階のbmap切り詰めがコミットされる前にシステムシャットダウンが発生した場合、ログ回復はディスク上のルートブロックを検証しようとします。xfs_da3_node_verify()はcount == 0のノードブロックを許容しないため、そのようなブロックは検証に失敗しメタデータ破損シャットダウンを引き起こします。一方で、リーフブロックはこの一時的な状態を許容します。2つ目は、xfs_attr_inactive()内でattrフォークの切り詰めを2段階の明示的なフェーズに分割しました。まずルートブロックを超えるすべてのエクステント（親参照がすでに削除された子エクステント）を切り詰めます。次に、ルートブロックを無効化しattr bmapをゼロに切り詰める操作を単一トランザクションで行います。第二段階の2つの操作は原子で実行する必要があります。attr bmapに非ゼロ長が存在する限り、回復処理はそれを追跡してルートブロックに到達できるため、ルートブロックの無効化はbmapのゼロ切り詰めと同時にコミットされなければなりません。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	May 1, 2026, midnight
Registration Date	May 11, 2026, 10:56 a.m.
Last Update	May 11, 2026, 10:56 a.m.

CVSS3.0 : 警告
Score	4.7
Vector	CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H

Affected System

Linux

Linux Kernel 2.6.12

Linux Kernel 2.6.12.1 以上 6.19.12 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43053	https://www.cve.org/CVERecord?id=CVE-2026-43053
National Vulnerability Database (NVD)
2	CVE-2026-43053	https://nvd.nist.gov/vuln/detail/CVE-2026-43053

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-367	https://cwe.mitre.org/data/definitions/367.html

その他

No	Name	URL
関連文書
1	xfs: close crash window in attr dabtree inactivation - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/b854e1c4eff3473b6d3a9ae74129ac5c48bc0b61)	https://git.kernel.org/stable/c/b854e1c4eff3473b6d3a9ae74129ac5c48bc0b61
2	xfs: close crash window in attr dabtree inactivation - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/e5a3e3cdd9b3015ae79456c81beebfdbb5246c0f)	https://git.kernel.org/stable/c/e5a3e3cdd9b3015ae79456c81beebfdbb5246c0f

Change Log

No	Changed Details	Date of change
1	[2026年05月11日] 掲載	May 11, 2026, 10:56 a.m.

NVD Vulnerability Information

CVE-2026-43053

Summary	In the Linux kernel, the following vulnerability has been resolved: xfs: close crash window in attr dabtree inactivation When inactivating an inode with node-format extended attributes, xfs_attr3_node_inactive() invalidates all child leaf/node blocks via xfs_trans_binval(), but intentionally does not remove the corresponding entries from their parent node blocks. The implicit assumption is that xfs_attr_inactive() will truncate the entire attr fork to zero extents afterwards, so log recovery will never reach the root node and follow those stale pointers. However, if a log shutdown occurs after the leaf/node block cancellations commit but before the attr bmap truncation commits, this assumption breaks. Recovery replays the attr bmap intact (the inode still has attr fork extents), but suppresses replay of all cancelled leaf/node blocks, maybe leaving them as stale data on disk. On the next mount, xlog_recover_process_iunlinks() retries inactivation and attempts to read the root node via the attr bmap. If the root node was not replayed, reading the unreplayed root block triggers a metadata verification failure immediately; if it was replayed, following its child pointers to unreplayed child blocks triggers the same failure: XFS (pmem0): Metadata corruption detected at xfs_da3_node_read_verify+0x53/0x220, xfs_da3_node block 0x78 XFS (pmem0): Unmount and run xfs_repair XFS (pmem0): First 128 bytes of corrupted metadata buffer: 00000000: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00000070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ XFS (pmem0): metadata I/O error in "xfs_da_read_buf+0x104/0x190" at daddr 0x78 len 8 error 117 Fix this in two places: In xfs_attr3_node_inactive(), after calling xfs_trans_binval() on a child block, immediately remove the entry that references it from the parent node in the same transaction. This eliminates the window where the parent holds a pointer to a cancelled block. Once all children are removed, the now-empty root node is converted to a leaf block within the same transaction. This node-to-leaf conversion is necessary for crash safety. If the system shutdown after the empty node is written to the log but before the second-phase bmap truncation commits, log recovery will attempt to verify the root block on disk. xfs_da3_node_verify() does not permit a node block with count == 0; such a block will fail verification and trigger a metadata corruption shutdown. on the other hand, leaf blocks are allowed to have this transient state. In xfs_attr_inactive(), split the attr fork truncation into two explicit phases. First, truncate all extents beyond the root block (the child extents whose parent references have already been removed above). Second, invalidate the root block and truncate the attr bmap to zero in a single transaction. The two operations in the second phase must be atomic: as long as the attr bmap has any non-zero length, recovery can follow it to the root block, so the root block invalidation must commit together with the bmap-to-zero truncation.
Publication Date	May 2, 2026, 12:16 a.m.
Registration Date	May 2, 2026, 4:07 a.m.
Last Update	May 8, 2026, 3:24 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:linux:linux_kernel::::::::	2.6.12.1			6.19.12
cpe:2.3:o:linux:linux_kernel:2.6.12:-::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc2::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc3::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc4::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc5::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc1::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc2::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc3::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc4::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc5::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc6::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc7::::::

Related information, measures and tools

No	URL	refsource	タグ
1	https://git.kernel.org/stable/c/b854e1c4eff3473b6d3a9ae74129ac5c48bc0b61	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/e5a3e3cdd9b3015ae79456c81beebfdbb5246c0f	416baaa9-dc9f-4396-8d5f-8c081fb06d67

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-367	Time-of-check Time-of-use (TOCTOU) 競合状態	https://cwe.mitre.org/data/definitions/367.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:linux:linux_kernel::::::::	2.6.12.1			6.19.12
cpe:2.3:o:linux:linux_kernel:2.6.12:-::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc2::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc3::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc4::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc5::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc1::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc2::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc3::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc4::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc5::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc6::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc7::::::