Linuxカーネルにおいて、以下の脆弱性が修正されました。Bluetoothのl2cap_sock_cleanup_listen()におけるUse-After-Freeの問題を修正しました。syzbotが再現手段なしに以下のsplatを報告しました。splatでは、bt_accept_dequeue()を呼び出した単一スレッドがskを解放し、その後にアクセスしていました。根本原因は、該当コミットで追加された競合状態のあるl2cap_sock_cleanup_listen()の呼び出しだと考えられます。bt_accept_dequeue()はlock_sock()のもとで呼び出されますが、l2cap_sock_release()は例外です。二つのスレッドがbt_accept_dequeue()内のリストイテレーション中に同一のソケットを参照する可能性があります。CPU1ではsock_hold(sk)を行いlock_sock(sk)でclose()をブロックし、sock_put(sk)、bt_accept_unlink(sk)、sock_put(sk)、release_sock(sk)と進みます。一方、CPU2はlock_sock(sk)、sock_put(sk)、bt_accept_unlink(sk)、sock_put(sk)（最後の参照カウント）、bt_accept_unlink(sk)（Use-After-Free）へと進行します。タイミングによっては別のスレッドが"Freed by task"部分に現れることがあります。l2cap_sock_release()内のl2cap_sock_cleanup_listen()をlock_sock()の内部で呼び出すことで対処しています。具体的には、KASANによるUse-After-Free検出のトレースが示されており、spinlock_debug.cやnet/bluetooth関連ファイルの関数呼び出し順で問題が発生していました。これにより、BluetoothのL2CAPソケットのクリーンアップ処理中にUse-After-Free脆弱性が生じる問題を修正し、競合状態を防止するためのロック制御を強化しました。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。