製品・ソフトウェアに関する情報
脆弱性検索
Linuxカーネルのnetfilter nf_tablesにおけるコミットミューテックスの管理不備によりリソース不整合が発生する脆弱性
タイトル Linuxカーネルのnetfilter nf_tablesにおけるコミットミューテックスの管理不備によりリソース不整合が発生する脆弱性
概要

Linuxカーネルのnetfilter nf_tablesにおいて、commitミューテックスがnft_gc_seq_begin()とnft_gc_seq_end()の間のクリティカルセクション内で解放されると、非同期GCワーカーが同じGCシーケンス内で期限切れオブジェクトを回収し、ロックを取得する可能性がありました。この問題が悪用されると、nf_tablesのトランザクション中にリソースの不整合や予期しない動作が発生するおそれがあります。修正では、nf_tables_module_autoload()のアボート処理においてミューテックスを解放するタイミングをnft_gc_seq_end()の呼び出し後に移動することで、適切に対策しています。

想定される影響 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
対策

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

公表日 2024年4月25日0:00
登録日 2025年12月25日17:01
最終更新日 2025年12月25日17:01
CVSS3.0 : 警告
スコア 5.5
ベクター CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
影響を受けるシステム
Debian
Debian GNU/Linux 10.0
Linux
Linux Kernel 4.19.316 から 4.20 未満
Linux Kernel 5.10.198 から 5.10.215 未満
Linux Kernel 5.15.134 から 5.15.155 未満
Linux Kernel 5.4.262 から 5.4.274 未満
Linux Kernel 6.1.56 から 6.1.86 未満
Linux Kernel 6.4.13 から 6.5 未満
Linux Kernel 6.5
Linux Kernel 6.5.1 から 6.6.26 未満
Linux Kernel 6.7 から 6.8.5 未満
Linux Kernel 6.9
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2025年12月25日]
  掲載		 2025年12月25日17:01
NVD脆弱性情報
CVE-2024-26925
概要

In the Linux kernel, the following vulnerability has been resolved:

netfilter: nf_tables: release mutex after nft_gc_seq_end from abort path

The commit mutex should not be released during the critical section
between nft_gc_seq_begin() and nft_gc_seq_end(), otherwise, async GC
worker could collect expired objects and get the released commit lock
within the same GC sequence.

nf_tables_module_autoload() temporarily releases the mutex to load
module dependencies, then it goes back to replay the transaction again.
Move it at the end of the abort phase after nft_gc_seq_end() is called.

公表日 2024年4月25日15:15
登録日 2024年4月25日20:00
最終更新日 2024年11月21日18:03
関連情報、対策とツール
共通脆弱性一覧