製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける二重解放に関する脆弱性

タイトル	LinuxのLinux Kernelにおける二重解放に関する脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました：dmにおいて、最後のクローンされたbioが完了したときにクローンリクエストのbioポインタがクリアされない問題がありました。スタルなrq-bio値が存在すると、リクエストベースのデバイスマッパターゲットでクローンされたbioの二重初期化が発生し、その結果、use-after-freeや二重解放のシナリオが生じていました。例えば、PCIe NVMeネームスペース上でdm-multipathを使用している場合、blk_complete_request()でクローンされたリクエストbioが解放されますが、rq-bioはそのまま残ります。その後のクローンの解体処理がblk_rq_unprep_clone()を介して同じbioを再度解放しようとします。二重解放のパスは以下のとおりです：nvme_pci_complete_batch() → nvme_complete_batch() → blk_mq_end_request_batch() → blk_complete_request()（DMクローンリクエストに対して呼び出される）→ bio_endio()（すべてのクローンbioの最初の解放）→ rq-end_io()（end_clone_request()）→ dm_complete_request(tio-orig) → dm_softirq_done() → dm_done() → dm_end_request() → blk_rq_unprep_clone()（クローンbioの2回目の解放）。この問題は、最後のクローンされたbioが完了した際にクローンリクエストのbioポインタをクリアすることで修正され、後続の解体処理がすでに解放されたbioを再度解放しようとしないようにしています。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年5月6日0:00
登録日	2026年5月11日11:05
最終更新日	2026年5月11日11:05

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 6.1 以上 6.1.165 未満

Linux Kernel 6.13 以上 6.18.16 未満

Linux Kernel 6.19 以上 6.19.6 未満

Linux Kernel 6.2 以上 6.6.128 未満

Linux Kernel 6.7 以上 6.12.75 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43278	https://www.cve.org/CVERecord?id=CVE-2026-43278
National Vulnerability Database (NVD)
2	CVE-2026-43278	https://nvd.nist.gov/vuln/detail/CVE-2026-43278

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-415	https://cwe.mitre.org/data/definitions/415.html

その他

No	名前	URL
関連文書
1	dm: clear cloned request bio pointer when last clone bio completes - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/3d746b639be4b4f5cd8ce2b06aa52dc443f50edc)	https://git.kernel.org/stable/c/3d746b639be4b4f5cd8ce2b06aa52dc443f50edc
2	dm: clear cloned request bio pointer when last clone bio completes - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/7daf279c674d515fb22a727a7bbc92aeb35c5442)	https://git.kernel.org/stable/c/7daf279c674d515fb22a727a7bbc92aeb35c5442
3	dm: clear cloned request bio pointer when last clone bio completes - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/83d72091804600ead96dc9e9f518ea56cb4942f6)	https://git.kernel.org/stable/c/83d72091804600ead96dc9e9f518ea56cb4942f6
4	dm: clear cloned request bio pointer when last clone bio completes - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/8d9ddad561136f7e6a9346767bf97b4d79e38e67)	https://git.kernel.org/stable/c/8d9ddad561136f7e6a9346767bf97b4d79e38e67
5	dm: clear cloned request bio pointer when last clone bio completes - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/9a95b98202113045bc1a5bcb30388a500f25e050)	https://git.kernel.org/stable/c/9a95b98202113045bc1a5bcb30388a500f25e050
6	dm: clear cloned request bio pointer when last clone bio completes - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/b1c1a2637ebd675aa2d71fee8c70da8791d73850)	https://git.kernel.org/stable/c/b1c1a2637ebd675aa2d71fee8c70da8791d73850
7	dm: clear cloned request bio pointer when last clone bio completes - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/e2e738e8dfbbf83bd2bae0467ec4420cc52da42a)	https://git.kernel.org/stable/c/e2e738e8dfbbf83bd2bae0467ec4420cc52da42a
8	dm: clear cloned request bio pointer when last clone bio completes - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/fb8a6c18fb9a6561f7a15b58b272442b77a242dd)	https://git.kernel.org/stable/c/fb8a6c18fb9a6561f7a15b58b272442b77a242dd

変更履歴

No	変更内容	変更日
1	[2026年05月11日] 掲載	2026年5月11日11:05

NVD脆弱性情報

CVE-2026-43278

概要	In the Linux kernel, the following vulnerability has been resolved: dm: clear cloned request bio pointer when last clone bio completes Stale rq->bio values have been observed to cause double-initialization of cloned bios in request-based device-mapper targets, leading to use-after-free and double-free scenarios. One such case occurs when using dm-multipath on top of a PCIe NVMe namespace, where cloned request bios are freed during blk_complete_request(), but rq->bio is left intact. Subsequent clone teardown then attempts to free the same bios again via blk_rq_unprep_clone(). The resulting double-free path looks like: nvme_pci_complete_batch() nvme_complete_batch() blk_mq_end_request_batch() blk_complete_request() // called on a DM clone request bio_endio() // first free of all clone bios ... rq->end_io() // end_clone_request() dm_complete_request(tio->orig) dm_softirq_done() dm_done() dm_end_request() blk_rq_unprep_clone() // second free of clone bios Fix this by clearing the clone request's bio pointer when the last cloned bio completes, ensuring that later teardown paths do not attempt to free already-released bios.
公表日	2026年5月6日21:16
登録日	2026年5月7日4:09
最終更新日	2026年5月8日22:16

No	URL	refsource
1	https://git.kernel.org/stable/c/7daf279c674d515fb22a727a7bbc92aeb35c5442	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/83d72091804600ead96dc9e9f518ea56cb4942f6	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/8d9ddad561136f7e6a9346767bf97b4d79e38e67	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/b1c1a2637ebd675aa2d71fee8c70da8791d73850	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/e2e738e8dfbbf83bd2bae0467ec4420cc52da42a	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/fb8a6c18fb9a6561f7a15b58b272442b77a242dd	416baaa9-dc9f-4396-8d5f-8c081fb06d67