製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性

タイトル	LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性
概要	Linuxカーネルのatm: lecモジュールにおいて、sock_def_readable()関数でuse-after-freeの脆弱性が修正されました。この問題は、lec_atm_close()関数がpriv-lecdをNULLに設定し、送信処理の間に別スレッドが該当ポインタへ同時アクセスする競合状態により発生しました。結果として、RCUによるソケット解放後にsock_def_readable()内で解放済みメモリにアクセスされる危険がありました。本修正では、priv-lecdをRCU保護ポインタに変更し、rcu_assign_pointer()やrcu_access_pointer()で安全なアクセスを保証しています。また、lec_atm_close()でsynchronize_rcu()を呼ぶことで全ての読みに対する同期を行っています。この変更によりuse-after-free状態を回避し、競合状態の根本的な問題を解決しました。なお、従来のspinlock方式による同期は不十分であったため、このRCU方式への切り替えにより安定性が向上しました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年5月1日0:00
登録日	2026年5月11日10:57
最終更新日	2026年5月11日10:57

CVSS3.0 : 重要
スコア	7
ベクター	CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 2.6.12

Linux Kernel 2.6.12.1 以上 5.10.253 未満

Linux Kernel 5.11 以上 5.15.203 未満

Linux Kernel 5.16 以上 6.1.168 未満

Linux Kernel 6.13 以上 6.18.22 未満

Linux Kernel 6.19 以上 6.19.12 未満

Linux Kernel 6.2 以上 6.6.134 未満

Linux Kernel 6.7 以上 6.12.81 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43050	https://www.cve.org/CVERecord?id=CVE-2026-43050
National Vulnerability Database (NVD)
2	CVE-2026-43050	https://nvd.nist.gov/vuln/detail/CVE-2026-43050

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-416	https://cwe.mitre.org/data/definitions/416.html

その他

No	名前	URL
関連文書
1	atm: lec: fix use-after-free in sock_def_readable() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/317843d5355062020649124eb4a0d7acbcc3f53e)	https://git.kernel.org/stable/c/317843d5355062020649124eb4a0d7acbcc3f53e
2	atm: lec: fix use-after-free in sock_def_readable() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/3989740fa4978e1d2d51ecc62be1b01093e104ad)	https://git.kernel.org/stable/c/3989740fa4978e1d2d51ecc62be1b01093e104ad
3	atm: lec: fix use-after-free in sock_def_readable() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/3e8b25f32f2f35549d03d77da030a24a45bdef5b)	https://git.kernel.org/stable/c/3e8b25f32f2f35549d03d77da030a24a45bdef5b
4	atm: lec: fix use-after-free in sock_def_readable() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/5fbbb1ff936d7ff9528d929c1549977e8123d8a8)	https://git.kernel.org/stable/c/5fbbb1ff936d7ff9528d929c1549977e8123d8a8
5	atm: lec: fix use-after-free in sock_def_readable() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/750a33f417f3d196b86375f8d9f8938bacf130fe)	https://git.kernel.org/stable/c/750a33f417f3d196b86375f8d9f8938bacf130fe
6	atm: lec: fix use-after-free in sock_def_readable() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/922814879542c2e397b0e9641fd36b8202a8e555)	https://git.kernel.org/stable/c/922814879542c2e397b0e9641fd36b8202a8e555
7	atm: lec: fix use-after-free in sock_def_readable() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/abc10f85a3965ac14b9ed7ad3e67b35604a63aa3)	https://git.kernel.org/stable/c/abc10f85a3965ac14b9ed7ad3e67b35604a63aa3
8	atm: lec: fix use-after-free in sock_def_readable() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/b256d055da47258e63f8b40965f276c5f23d229a)	https://git.kernel.org/stable/c/b256d055da47258e63f8b40965f276c5f23d229a

変更履歴

No	変更内容	変更日
1	[2026年05月11日] 掲載	2026年5月11日10:57

NVD脆弱性情報

CVE-2026-43050

概要	In the Linux kernel, the following vulnerability has been resolved: atm: lec: fix use-after-free in sock_def_readable() A race condition exists between lec_atm_close() setting priv->lecd to NULL and concurrent access to priv->lecd in send_to_lecd(), lec_handle_bridge(), and lec_atm_send(). When the socket is freed via RCU while another thread is still using it, a use-after-free occurs in sock_def_readable() when accessing the socket's wait queue. The root cause is that lec_atm_close() clears priv->lecd without any synchronization, while callers dereference priv->lecd without any protection against concurrent teardown. Fix this by converting priv->lecd to an RCU-protected pointer: - Mark priv->lecd as __rcu in lec.h - Use rcu_assign_pointer() in lec_atm_close() and lecd_attach() for safe pointer assignment - Use rcu_access_pointer() for NULL checks that do not dereference the pointer in lec_start_xmit(), lec_push(), send_to_lecd() and lecd_attach() - Use rcu_read_lock/rcu_dereference/rcu_read_unlock in send_to_lecd(), lec_handle_bridge() and lec_atm_send() to safely access lecd - Use rcu_assign_pointer() followed by synchronize_rcu() in lec_atm_close() to ensure all readers have completed before proceeding. This is safe since lec_atm_close() is called from vcc_release() which holds lock_sock(), a sleeping lock. - Remove the manual sk_receive_queue drain from lec_atm_close() since vcc_destroy_socket() already drains it after lec_atm_close() returns. v2: Switch from spinlock + sock_hold/put approach to RCU to properly fix the race. The v1 spinlock approach had two issues pointed out by Eric Dumazet: 1. priv->lecd was still accessed directly after releasing the lock instead of using a local copy. 2. The spinlock did not prevent packets being queued after lec_atm_close() drains sk_receive_queue since timer and workqueue paths bypass netif_stop_queue(). Note: Syzbot patch testing was attempted but the test VM terminated unexpectedly with "Connection to localhost closed by remote host", likely due to a QEMU AHCI emulation issue unrelated to this fix. Compile testing with "make W=1 net/atm/lec.o" passes cleanly.
公表日	2026年5月2日0:16
登録日	2026年5月2日4:07
最終更新日	2026年5月8日3:21

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:linux:linux_kernel::::::::	2.6.12.1			5.10.253
cpe:2.3:o:linux:linux_kernel::::::::	5.11			5.15.203
cpe:2.3:o:linux:linux_kernel::::::::	5.16			6.1.168
cpe:2.3:o:linux:linux_kernel::::::::	6.2			6.6.134
cpe:2.3:o:linux:linux_kernel::::::::	6.7			6.12.81
cpe:2.3:o:linux:linux_kernel::::::::	6.13			6.18.22
cpe:2.3:o:linux:linux_kernel::::::::	6.19			6.19.12
cpe:2.3:o:linux:linux_kernel:2.6.12:-::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc2::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc3::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc4::::::
cpe:2.3:o:linux:linux_kernel:2.6.12:rc5::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc1::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc2::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc3::::::
cpe:2.3:o:linux:linux_kernel:7.0:rc4::::::

No	URL	refsource
1	https://git.kernel.org/stable/c/317843d5355062020649124eb4a0d7acbcc3f53e	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/3989740fa4978e1d2d51ecc62be1b01093e104ad	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/3e8b25f32f2f35549d03d77da030a24a45bdef5b	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/5fbbb1ff936d7ff9528d929c1549977e8123d8a8	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/750a33f417f3d196b86375f8d9f8938bacf130fe	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/922814879542c2e397b0e9641fd36b8202a8e555	416baaa9-dc9f-4396-8d5f-8c081fb06d67
7	https://git.kernel.org/stable/c/abc10f85a3965ac14b9ed7ad3e67b35604a63aa3	416baaa9-dc9f-4396-8d5f-8c081fb06d67
8	https://git.kernel.org/stable/c/b256d055da47258e63f8b40965f276c5f23d229a	416baaa9-dc9f-4396-8d5f-8c081fb06d67