製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける不特定の脆弱性

タイトル	LinuxのLinux Kernelにおける不特定の脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました。batman-advでは巨大なグローバルTTレスポンスバッファに関する拒否脆弱性が存在しました。batadv_tt_prepare_tvlv_global_data()関数は、グローバルTTレスポンスの割り当て長を16ビットの一時変数で処理していました。リモートオリジネーターが非常に大きなグローバルTTを広告すると、TTペイロード長とVLANヘッダーオフセットの合計が65535を超え、kmalloc()の前にオーバーフローが発生します。フルテーブルレスポンス経路はtt_changeを埋める際に元のTTペイロード長を使用し続けるため、オーバーフローした割り当てが小さすぎ、batadv_tt_prepare_tvlv_global_data()が後のパケットサイズチェックが実行される前にヒープオブジェクトの末尾を超えて書き込みを行ってしまいます。この問題は、16ビットのTVLVペイロード長フィールドに収まらないTVLV値長を持つTTレスポンスを拒否することで修正されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年4月24日0:00
登録日	2026年4月30日12:32
最終更新日	2026年4月30日12:32

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 3.13

Linux Kernel 3.13.1 以上 5.10.253 未満

Linux Kernel 5.11 以上 5.15.203 未満

Linux Kernel 5.16 以上 6.1.169 未満

Linux Kernel 6.13 以上 6.18.23 未満

Linux Kernel 6.19 以上 6.19.13 未満

Linux Kernel 6.2 以上 6.6.135 未満

Linux Kernel 6.7 以上 6.12.82 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-31659	https://www.cve.org/CVERecord?id=CVE-2026-31659
National Vulnerability Database (NVD)
2	CVE-2026-31659	https://nvd.nist.gov/vuln/detail/CVE-2026-31659

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

その他

No	名前	URL
関連文書
1	batman-adv: reject oversized global TT response buffers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/2997f4bd1f982e7013709946e00be89b507693fa)	https://git.kernel.org/stable/c/2997f4bd1f982e7013709946e00be89b507693fa
2	batman-adv: reject oversized global TT response buffers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/3a359bf5c61d52e7f09754108309d637532164a6)	https://git.kernel.org/stable/c/3a359bf5c61d52e7f09754108309d637532164a6
3	batman-adv: reject oversized global TT response buffers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/69d61639bc7e963c3b645e570279d731e7c89062)	https://git.kernel.org/stable/c/69d61639bc7e963c3b645e570279d731e7c89062
4	batman-adv: reject oversized global TT response buffers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/7e5d007e0df946bffb8542fb112e0044014a5897)	https://git.kernel.org/stable/c/7e5d007e0df946bffb8542fb112e0044014a5897
5	batman-adv: reject oversized global TT response buffers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/95c71365a2222908441b54d6f2c315e0c79fcec3)	https://git.kernel.org/stable/c/95c71365a2222908441b54d6f2c315e0c79fcec3
6	batman-adv: reject oversized global TT response buffers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/cf2199171ef799ca7270019125f4a91bd20ad4d9)	https://git.kernel.org/stable/c/cf2199171ef799ca7270019125f4a91bd20ad4d9
7	batman-adv: reject oversized global TT response buffers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/de6c1dc3c7d01a152607e6fcecee4d5288283f10)	https://git.kernel.org/stable/c/de6c1dc3c7d01a152607e6fcecee4d5288283f10
8	batman-adv: reject oversized global TT response buffers - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/f970646b9a39539d1bac86822ac78b5915455ea9)	https://git.kernel.org/stable/c/f970646b9a39539d1bac86822ac78b5915455ea9

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日12:32

NVD脆弱性情報

CVE-2026-31659

概要	In the Linux kernel, the following vulnerability has been resolved: batman-adv: reject oversized global TT response buffers batadv_tt_prepare_tvlv_global_data() builds the allocation length for a global TT response in 16-bit temporaries. When a remote originator advertises a large enough global TT, the TT payload length plus the VLAN header offset can exceed 65535 and wrap before kmalloc(). The full-table response path still uses the original TT payload length when it fills tt_change, so the wrapped allocation is too small and batadv_tt_prepare_tvlv_global_data() writes past the end of the heap object before the later packet-size check runs. Fix this by rejecting TT responses whose TVLV value length cannot fit in the 16-bit TVLV payload length field.
公表日	2026年4月25日0:16
登録日	2026年4月25日4:08
最終更新日	2026年4月28日0:16

No	URL	refsource
1	https://git.kernel.org/stable/c/2997f4bd1f982e7013709946e00be89b507693fa	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/3a359bf5c61d52e7f09754108309d637532164a6	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/69d61639bc7e963c3b645e570279d731e7c89062	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/7e5d007e0df946bffb8542fb112e0044014a5897	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/95c71365a2222908441b54d6f2c315e0c79fcec3	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/cf2199171ef799ca7270019125f4a91bd20ad4d9	416baaa9-dc9f-4396-8d5f-8c081fb06d67
7	https://git.kernel.org/stable/c/de6c1dc3c7d01a152607e6fcecee4d5288283f10	416baaa9-dc9f-4396-8d5f-8c081fb06d67
8	https://git.kernel.org/stable/c/f970646b9a39539d1bac86822ac78b5915455ea9	416baaa9-dc9f-4396-8d5f-8c081fb06d67