製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける不特定の脆弱性

タイトル	LinuxのLinux Kernelにおける不特定の脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました。ipv4のnexthopに関するrtm_get_nexthop()内でのskbの動的割り当てが対象です。RTM_GETNEXTHOPを介してnexthopオブジェクトを問い合わせる際、カーネルは現在、NLMSG_GOODSIZEを使用して固定サイズのskbを割り当てています。この固定の割り当ては単一のnexthopや小規模な等コストマルチパスグループには十分ですが、512のnexthopのような大規模なnexthopグループでは失敗します。これにより以下の警告メッセージが表示されます。WARNING: net/ipv4/nexthop.c:3395 at rtm_get_nexthop+0x176/0x1c0, CPU#20: rep/4608 [... ] RIP: 0010:rtm_get_nexthop (net/ipv4/nexthop.c:3395) [... ] Call Trace: TASK rtnetlink_rcv_msg (net/core/rtnetlink.c:6989) netlink_rcv_skb (net/netlink/af_netlink.c:2550) netlink_unicast (net/netlink/af_netlink.c:1319 net/netlink/af_netlink.c:1344) netlink_sendmsg (net/netlink/af_netlink.c:1894) ____sys_sendmsg (net/socket.c:721 net/socket.c:736 net/socket.c:2585) ___sys_sendmsg (net/socket.c:2641) __sys_sendmsg (net/socket.c:2671) do_syscall_64 (arch/x86/entry/syscall_64.c:63 arch/x86/entry/syscall_64.c:94) entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:130) /TASK。この問題はnh_nlmsg_size()を使ってサイズを動的に割り当て、nlmsg_new()を用いることで修正されました。これはnexthop_notify()の動作と一貫しています。また、フラグに基づいてサイズを計算するようnh_nlmsg_size_grp()を調整し、不足していたnexthopグループサイズの計算にNHA_FDBのサイズも追加しました。iproute2を使用して再現することはできません。現在、グループサイズが制限されており、コマンドは「addattr_l ERROR: message exceeded bound of 1048」というエラーで失敗します。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年4月23日0:00
登録日	2026年4月30日11:06
最終更新日	2026年4月30日11:06

CVSS3.0 : 警告
スコア	5.5
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

Linux

Linux Kernel 5.3 以上 6.12.83 未満

Linux Kernel 6.13 以上 6.18.24 未満

Linux Kernel 6.19 以上 6.19.14 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-31531	https://www.cve.org/CVERecord?id=CVE-2026-31531
National Vulnerability Database (NVD)
2	CVE-2026-31531	https://nvd.nist.gov/vuln/detail/CVE-2026-31531

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

その他

No	名前	URL
関連文書
1	ipv4: nexthop: allocate skb dynamically in rtm_get_nexthop() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/14cf0cd35361f4e94824bf8a42f72713d7702a73)	https://git.kernel.org/stable/c/14cf0cd35361f4e94824bf8a42f72713d7702a73
2	ipv4: nexthop: allocate skb dynamically in rtm_get_nexthop() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/40bd39e383a0478fd5c221f393df05fd9d70cfbc)	https://git.kernel.org/stable/c/40bd39e383a0478fd5c221f393df05fd9d70cfbc
3	ipv4: nexthop: allocate skb dynamically in rtm_get_nexthop() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/615517f3f8d53b0cf41507c7599971e17adfdfa5)	https://git.kernel.org/stable/c/615517f3f8d53b0cf41507c7599971e17adfdfa5
4	ipv4: nexthop: allocate skb dynamically in rtm_get_nexthop() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/635038fe19db391117e66b46bdc2b6e447ac801d)	https://git.kernel.org/stable/c/635038fe19db391117e66b46bdc2b6e447ac801d

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日11:06

NVD脆弱性情報

CVE-2026-31531

概要	In the Linux kernel, the following vulnerability has been resolved: ipv4: nexthop: allocate skb dynamically in rtm_get_nexthop() When querying a nexthop object via RTM_GETNEXTHOP, the kernel currently allocates a fixed-size skb using NLMSG_GOODSIZE. While sufficient for single nexthops and small Equal-Cost Multi-Path groups, this fixed allocation fails for large nexthop groups like 512 nexthops. This results in the following warning splat: WARNING: net/ipv4/nexthop.c:3395 at rtm_get_nexthop+0x176/0x1c0, CPU#20: rep/4608 [...] RIP: 0010:rtm_get_nexthop (net/ipv4/nexthop.c:3395) [...] Call Trace: <TASK> rtnetlink_rcv_msg (net/core/rtnetlink.c:6989) netlink_rcv_skb (net/netlink/af_netlink.c:2550) netlink_unicast (net/netlink/af_netlink.c:1319 net/netlink/af_netlink.c:1344) netlink_sendmsg (net/netlink/af_netlink.c:1894) ____sys_sendmsg (net/socket.c:721 net/socket.c:736 net/socket.c:2585) ___sys_sendmsg (net/socket.c:2641) __sys_sendmsg (net/socket.c:2671) do_syscall_64 (arch/x86/entry/syscall_64.c:63 arch/x86/entry/syscall_64.c:94) entry_SYSCALL_64_after_hwframe (arch/x86/entry/entry_64.S:130) </TASK> Fix this by allocating the size dynamically using nh_nlmsg_size() and using nlmsg_new(), this is consistent with nexthop_notify() behavior. In addition, adjust nh_nlmsg_size_grp() so it calculates the size needed based on flags passed. While at it, also add the size of NHA_FDB for nexthop group size calculation as it was missing too. This cannot be reproduced via iproute2 as the group size is currently limited and the command fails as follows: addattr_l ERROR: message exceeded bound of 1048
公表日	2026年4月23日21:17
登録日	2026年4月25日4:06
最終更新日	2026年4月29日2:38

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:linux:linux_kernel::::::::	5.3			6.12.83
cpe:2.3:o:linux:linux_kernel::::::::	6.13			6.18.24
cpe:2.3:o:linux:linux_kernel::::::::	6.19			6.19.14
cpe:2.3:o:linux:linux_kernel:7.0:rc1::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc2::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc3::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc4::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc5::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc6::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc7::::::

No	URL	refsource
1	https://git.kernel.org/stable/c/14cf0cd35361f4e94824bf8a42f72713d7702a73	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/40bd39e383a0478fd5c221f393df05fd9d70cfbc	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/615517f3f8d53b0cf41507c7599971e17adfdfa5	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/635038fe19db391117e66b46bdc2b6e447ac801d	416baaa9-dc9f-4396-8d5f-8c081fb06d67