製品・ソフトウェアに関する情報
脆弱性検索
Debian等の複数ベンダの製品における初期化されていないリソースの使用に関する脆弱性
タイトル Debian等の複数ベンダの製品における初期化されていないリソースの使用に関する脆弱性
概要

Linuxカーネルに記載されているFIGの脆弱性が修正されました。comediサブシステムのdo_insn_ioctl()とdo_insnlist_ioctl()では、初期化されていないメモリの内容がユーザ空間に漏洩する問題が存在していました。この問題は、各命令のサンプル数分のバッファを確保した後、一部の命令ハンドラが要求されたサンプル数すべてにデータを書き込まない場合があることが原因です。その結果、書き込まれなかった部分が未初期化のままユーザ空間にコピーされ、情報漏洩が発生していました。主な原因はinsn_rw_emulate_bits()やvm80xxドライバのvm80xx_ai_insn_read()などのハンドラにありました。今回の修正により、バッファの未初期化部分をゼロで埋める処理を追加し、情報漏洩を防止しています。

想定される影響 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
対策

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

公表日 2025年9月5日0:00
登録日 2026年1月13日14:58
最終更新日 2026年1月13日14:58
CVSS3.0 : 警告
スコア 5.5
ベクター CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
影響を受けるシステム
Debian
Debian GNU/Linux 11.0
Linux
Linux Kernel 2.6.29 以上 5.15.190 未満
Linux Kernel 5.16 以上 6.1.149 未満
Linux Kernel 6.13 以上 6.16.4 未満
Linux Kernel 6.17
Linux Kernel 6.2 以上 6.6.103 未満
Linux Kernel 6.7 以上 6.12.44 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年01月13日]
  掲載		 2026年1月13日14:58