製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性

Title	LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性
Summary	Linuxカーネルのmanaドライバーにおいて、mana_hwc_destroy_channel()のテアダウン順序に問題があり、use-after-freeの脆弱性が存在していました。この問題は、hwc-caller_ctxが適切な同期なしに解放されて進行中の割り込みハンドラが解放されたメモリにアクセスする可能性があったために発生しました。この脆弱性は、テアダウン手順を修正し、TX/RXワークキューや完了キュー（CQ）・イベントキュー（EQ）を先に破棄してからcaller_ctxを解放することで解決されました。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date	April 3, 2026, midnight
Registration Date	May 28, 2026, 2:43 p.m.
Last Update	May 28, 2026, 2:43 p.m.

CVSS3.0 : 重要
Score	7
Vector	CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Affected System

Linux

Linux Kernel 5.13 以上 5.15.203 未満

Linux Kernel 5.16 以上 6.1.167 未満

Linux Kernel 6.13 以上 6.18.20 未満

Linux Kernel 6.19 以上 6.19.10 未満

Linux Kernel 6.2 以上 6.6.130 未満

Linux Kernel 6.7 以上 6.12.78 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-23454	https://www.cve.org/CVERecord?id=CVE-2026-23454
National Vulnerability Database (NVD)
2	CVE-2026-23454	https://nvd.nist.gov/vuln/detail/CVE-2026-23454

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-416	https://cwe.mitre.org/data/definitions/416.html

その他

No	Name	URL
関連文書
1	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/05d345719d85b927cba74afac4d5322de3aa4256)	https://git.kernel.org/stable/c/05d345719d85b927cba74afac4d5322de3aa4256
2	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/249e905571583a434d4ea8d6f92ccc0eef337115)	https://git.kernel.org/stable/c/249e905571583a434d4ea8d6f92ccc0eef337115
3	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/2b001901f689021acd7bf2dceed74a1bdcaaa1f9)	https://git.kernel.org/stable/c/2b001901f689021acd7bf2dceed74a1bdcaaa1f9
4	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/afdb1533eb9c05432aeb793a7280fa827c502f5c)	https://git.kernel.org/stable/c/afdb1533eb9c05432aeb793a7280fa827c502f5c
5	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/b88edf12fc3779521ae5f6f1584153b15f7da6df)	https://git.kernel.org/stable/c/b88edf12fc3779521ae5f6f1584153b15f7da6df
6	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/e23bf444512cb85d76012080a76cd1f9e967448e)	https://git.kernel.org/stable/c/e23bf444512cb85d76012080a76cd1f9e967448e
7	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/fa103fc8f56954a60699a29215cb713448a39e87)	https://git.kernel.org/stable/c/fa103fc8f56954a60699a29215cb713448a39e87

Change Log

No	Changed Details	Date of change
1	[2026年05月28日] 掲載	May 28, 2026, 2:43 p.m.

NVD Vulnerability Information

CVE-2026-23454

Summary	In the Linux kernel, the following vulnerability has been resolved: net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown A potential race condition exists in mana_hwc_destroy_channel() where hwc->caller_ctx is freed before the HWC's Completion Queue (CQ) and Event Queue (EQ) are destroyed. This allows an in-flight CQ interrupt handler to dereference freed memory, leading to a use-after-free or NULL pointer dereference in mana_hwc_handle_resp(). mana_smc_teardown_hwc() signals the hardware to stop but does not synchronize against IRQ handlers already executing on other CPUs. The IRQ synchronization only happens in mana_hwc_destroy_cq() via mana_gd_destroy_eq() -> mana_gd_deregister_irq(). Since this runs after kfree(hwc->caller_ctx), a concurrent mana_hwc_rx_event_handler() can dereference freed caller_ctx (and rxq->msg_buf) in mana_hwc_handle_resp(). Fix this by reordering teardown to reverse-of-creation order: destroy the TX/RX work queues and CQ/EQ before freeing hwc->caller_ctx. This ensures all in-flight interrupt handlers complete before the memory they access is freed.
Publication Date	April 4, 2026, 1:16 a.m.
Registration Date	April 15, 2026, 11:24 a.m.
Last Update	April 7, 2026, 10:21 p.m.

Related information, measures and tools

No	URL	refsource
1	https://git.kernel.org/stable/c/05d345719d85b927cba74afac4d5322de3aa4256	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/249e905571583a434d4ea8d6f92ccc0eef337115	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/2b001901f689021acd7bf2dceed74a1bdcaaa1f9	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/afdb1533eb9c05432aeb793a7280fa827c502f5c	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/e23bf444512cb85d76012080a76cd1f9e967448e	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/fa103fc8f56954a60699a29215cb713448a39e87	416baaa9-dc9f-4396-8d5f-8c081fb06d67

Common Vulnerabilities List