製品・ソフトウェアに関する情報
Vulnerability Search
LinuxのLinux Kernelにおける不特定の脆弱性
Title LinuxのLinux Kernelにおける不特定の脆弱性
Summary

Linuxカーネルにおいて、以下の脆弱性が修正されました。btrfs: btrfs_repair_io_failure()内で、ファイルシステムが読み取り専用(RO)に切り替わったときにASSERT()を行わないようにしました。[バグ] btrfsが重要な処理経路でENOSPCエラーに遭遇した場合、btrfsは読み取り専用に切り替わります(この動作は想定内ですが、ENOSPCのバグは依然として対応が必要です)。問題はROに切り替わった後、読み取り修復が保留中の場合に、btrfs_repair_io_failure()内のASSERT()が以下のように発生することです。BTRFS情報(デバイスvdc):ブロックグループ30408704をメタデータ|raid1フラグで再配置しました。------------[ ここで切断 ]------------BTRFS: トランザクションが中止されました(エラー -28) WARNING: fs/btrfs/extent-tree.c:3235の__btrfs_free_extent.isra.0+0x453/0xfd0, CPU#1: btrfs/383844 モジュール:kvm_intel kvm irqbypass [...] ---[ トレース終了 0000000000000000 ]--- BTRFS情報(デバイスvdc状態EA):バランス中に2回のENOSPCエラーが発生しました。BTRFS情報(デバイスvdc状態EA):バランスは状態:-30で終了しました。BTRFSエラー(デバイスvdc状態EA):親トランザクションID検証に失敗しました。論理30556160 ミラー2 期待値8 実際6です。BTRFSエラー(デバイスvdc状態EA):bdev /dev/nvme0n1にエラーが発生しました:書き込み0、読み込み0、フラッシュ0、破損10、世代0です。[...] fs/btrfs/bio.c:938でassertion failed: !(fs_info-sb-s_flags & SB_RDONLY) :: 0 ------------[ ここで切断 ]------------assertion failed: !(fs_info-sb-s_flags & SB_RDONLY) :: 0, fs/btrfs/bio.c:938 カーネルBUGがfs/btrfs/bio.c:938で発生しました。Oops: 無効な命令コード: 0000 [#1] SMP NOPTI CPU: 0 UID: 0 PID: 868 コミュニティ: kworker/u8:13 Tainted: G W N 6.19.0-rc6+ #4788 PREEMPT(full) Tainted: [W]=WARN, [N]=TEST ハードウェア名: QEMU Standard PC (Q35 + ICH9, 2009), BIOS rel-1.17.0-0-gb52ca86e094d-prebuilt.qemu.org 2014/04/01 ワークキュー: btrfs-endio simple_end_io_work RIP: 0010:btrfs_repair_io_failure.cold+0xb2/0x120 ・・・[省略]------------[ ここで切断 ]------------[原因] テストケースbtrfs/124で発生する-ENOSPCエラーの原因は不明ですが、メタデータのオーバーコミットが発生し、正しく処理できない場合があることが判明しました。したがって、重要な処理経路でこのようなENOSPCエラーに遭遇した場合、現在のトランザクションを中止せざるを得ません。このため、ファイルシステムは読み取り専用になります。問題はbtrfs_repair_io_failure()のパス内で、ファイルシステムが読み取り専用にマウントされていないことを前提としていることです。通常、この点は問題ありませんが、読み取り修復中にファイルシステムがクリティカルエラーでROに切り替わると、スーパーブロックが読み取り専用にセットされた状態でbtrfs_repair_io_failure()に入ることがあり、この場合、上記のクラッシュが発生します。[修正] ファイルシステムが既に読み取り専用の場合はASSERT()を適切なreturn文に置き換えました。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。

Publication Date May 8, 2026, midnight
Registration Date May 18, 2026, 11:29 a.m.
Last Update May 18, 2026, 11:29 a.m.
CVSS3.0 : 警告
Score 5.5
Vector CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Affected System
Linux
Linux Kernel 3.13 以上 6.19.6 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2026年05月18日]
  掲載		 May 18, 2026, 11:29 a.m.
NVD Vulnerability Information
CVE-2026-43299
Summary

In the Linux kernel, the following vulnerability has been resolved:

btrfs: do not ASSERT() when the fs flips RO inside btrfs_repair_io_failure()

[BUG]
There is a bug report that when btrfs hits ENOSPC error in a critical
path, btrfs flips RO (this part is expected, although the ENOSPC bug
still needs to be addressed).

The problem is after the RO flip, if there is a read repair pending, we
can hit the ASSERT() inside btrfs_repair_io_failure() like the following:

BTRFS info (device vdc): relocating block group 30408704 flags metadata|raid1
------------[ cut here ]------------
BTRFS: Transaction aborted (error -28)
WARNING: fs/btrfs/extent-tree.c:3235 at __btrfs_free_extent.isra.0+0x453/0xfd0, CPU#1: btrfs/383844
Modules linked in: kvm_intel kvm irqbypass
[...]
---[ end trace 0000000000000000 ]---
BTRFS info (device vdc state EA): 2 enospc errors during balance
BTRFS info (device vdc state EA): balance: ended with status: -30
BTRFS error (device vdc state EA): parent transid verify failed on logical 30556160 mirror 2 wanted 8 found 6
BTRFS error (device vdc state EA): bdev /dev/nvme0n1 errs: wr 0, rd 0, flush 0, corrupt 10, gen 0
[...]
assertion failed: !(fs_info->sb->s_flags & SB_RDONLY) :: 0, in fs/btrfs/bio.c:938
------------[ cut here ]------------
assertion failed: !(fs_info->sb->s_flags & SB_RDONLY) :: 0, in fs/btrfs/bio.c:938
kernel BUG at fs/btrfs/bio.c:938!
Oops: invalid opcode: 0000 [#1] SMP NOPTI
CPU: 0 UID: 0 PID: 868 Comm: kworker/u8:13 Tainted: G W N 6.19.0-rc6+ #4788 PREEMPT(full)
Tainted: [W]=WARN, [N]=TEST
Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS rel-1.17.0-0-gb52ca86e094d-prebuilt.qemu.org 04/01/2014
Workqueue: btrfs-endio simple_end_io_work
RIP: 0010:btrfs_repair_io_failure.cold+0xb2/0x120
RSP: 0000:ffffc90001d2bcf0 EFLAGS: 00010246
RAX: 0000000000000051 RBX: 0000000000001000 RCX: 0000000000000000
RDX: 0000000000000000 RSI: ffffffff8305cf42 RDI: 00000000ffffffff
RBP: 0000000000000002 R08: 00000000fffeffff R09: ffffffff837fa988
R10: ffffffff8327a9e0 R11: 6f69747265737361 R12: ffff88813018d310
R13: ffff888168b8a000 R14: ffffc90001d2bd90 R15: ffff88810a169000
FS: 0000000000000000(0000) GS:ffff8885e752c000(0000) knlGS:0000000000000000
CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033
------------[ cut here ]------------

[CAUSE]
The cause of -ENOSPC error during the test case btrfs/124 is still
unknown, although it's known that we still have cases where metadata can
be over-committed but can not be fulfilled correctly, thus if we hit
such ENOSPC error inside a critical path, we have no choice but abort
the current transaction.

This will mark the fs read-only.

The problem is inside the btrfs_repair_io_failure() path that we require
the fs not to be mount read-only. This is normally fine, but if we are
doing a read-repair meanwhile the fs flips RO due to a critical error,
we can enter btrfs_repair_io_failure() with super block set to
read-only, thus triggering the above crash.

[FIX]
Just replace the ASSERT() with a proper return if the fs is already
read-only.

Publication Date May 8, 2026, 11:16 p.m.
Registration Date May 9, 2026, 4:12 a.m.
Last Update May 12, 2026, 11:10 p.m.
Related information, measures and tools
Common Vulnerabilities List