| タイトル | LinuxのLinux Kernelにおける境界外書き込みに関する脆弱性 |
|---|---|
| 概要 | Linuxカーネルにおいて、tracing/dmaのdma_map_sgトレースポイント配列のサイズ制限によりバッファオーバーフローを防止する修正が行われました。大量のスキャッターゲザーリストがperfバッファのオーバーフローを引き起こす問題に対処しています。具体的には、virtio-gpuなどのデバイスで大きなDRMバッファが作成され、1000を超えるエントリ数がある場合に、物理アドレス配列やdmaアドレス配列、長さ配列の合計サイズが約2万バイトとなり、PERF_MAX_TRACE_SIZEの8192バイトを超えて警告が発生していました。これを防ぐためにmin関数を用いて128エントリに制限し、必要な分だけメモリを確保することで、小規模操作での無駄な割当てを避け、大規模操作でのオーバーフローを防止しています。また、トレースポイントはエントリ数とトランケートフラグを記録し、データが制限されたかどうかをユーザーが確認できるようにしています。v2では動的配列サイズ決定にmin(nents, DMA_TRACE_MAX_ENTRIES)を用い、フィードバックを反映して改善しました。レビュアーはSean Anderson氏です。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年3月25日0:00 |
| 登録日 | 2026年4月27日10:53 |
| 最終更新日 | 2026年4月27日10:53 |
| CVSS3.0 : 重要 | |
| スコア | 7.8 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Linux |
| Linux Kernel 6.12 |
| Linux Kernel 6.12.1 以上 6.12.74 未満 |
| Linux Kernel 6.13 以上 6.18.13 未満 |
| Linux Kernel 6.19 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
2026年4月27日10:53 |
| 概要 | In the Linux kernel, the following vulnerability has been resolved: tracing/dma: Cap dma_map_sg tracepoint arrays to prevent buffer overflow The dma_map_sg tracepoint can trigger a perf buffer overflow when phys_addrs: 1000 * 8 bytes = 8,000 bytes This exceeds PERF_MAX_TRACE_SIZE (8192 bytes), causing: WARNING: CPU: 0 PID: 5497 at kernel/trace/trace_event_perf.c:405 Cap all three dynamic arrays at 128 entries using min() in the array The tracepoint now records the full nents/ents counts and a truncated Changes in v2: Reviwed-by: Sean Anderson <sean.anderson@linux.dev> |
|---|---|
| 概要 | En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta: tracing/dma: Limitar los arrays del tracepoint dma_map_sg para prevenir el desbordamiento de búfer El tracepoint dma_map_sg puede desencadenar un desbordamiento de búfer de perf al trazar listas grandes de scatter-gather. Con dispositivos como virtio-gpu creando búferes DRM grandes, nents puede exceder las 1000 entradas, resultando en: phys_addrs: 1000 * 8 bytes = 8.000 bytes Esto excede PERF_MAX_TRACE_SIZE (8192 bytes), causando: ADVERTENCIA: CPU: 0 PID: 5497 en kernel/trace/trace_event_perf.c:405 Limitar los tres arrays dinámicos a 128 entradas usando min() en el cálculo del tamaño del array. Esto asegura que los arrays sean solo tan grandes como sea necesario (hasta el límite), evitando la asignación de memoria innecesaria para operaciones pequeñas mientras se previene el desbordamiento para las grandes. El tracepoint ahora registra los conteos completos de nents/ents y un indicador de truncamiento para que los usuarios puedan ver cuándo los datos han sido limitados. Cambios en v2: Revisado por: Sean Anderson |
| 公表日 | 2026年3月25日20:16 |
| 登録日 | 2026年4月27日12:19 |
| 最終更新日 | 2026年4月25日3:32 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.12.1 | 6.12.74 | |||
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.13 | 6.18.13 | |||
| cpe:2.3:o:linux:linux_kernel:6.12:-:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc2:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc3:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc4:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc5:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc6:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc7:*:*:*:*:*:* | |||||
| cpe:2.3:o:linux:linux_kernel:6.19:rc8:*:*:*:*:*:* | |||||