製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性

タイトル	LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性
概要	Linuxカーネルのmanaドライバーにおいて、mana_hwc_destroy_channel()のテアダウン順序に問題があり、use-after-freeの脆弱性が存在していました。この問題は、hwc-caller_ctxが適切な同期なしに解放されて進行中の割り込みハンドラが解放されたメモリにアクセスする可能性があったために発生しました。この脆弱性は、テアダウン手順を修正し、TX/RXワークキューや完了キュー（CQ）・イベントキュー（EQ）を先に破棄してからcaller_ctxを解放することで解決されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年4月3日0:00
登録日	2026年5月28日14:43
最終更新日	2026年5月28日14:43

CVSS3.0 : 重要
スコア	7
ベクター	CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 5.13 以上 5.15.203 未満

Linux Kernel 5.16 以上 6.1.167 未満

Linux Kernel 6.13 以上 6.18.20 未満

Linux Kernel 6.19 以上 6.19.10 未満

Linux Kernel 6.2 以上 6.6.130 未満

Linux Kernel 6.7 以上 6.12.78 未満

Linux Kernel 7.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-23454	https://www.cve.org/CVERecord?id=CVE-2026-23454
National Vulnerability Database (NVD)
2	CVE-2026-23454	https://nvd.nist.gov/vuln/detail/CVE-2026-23454

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-416	https://cwe.mitre.org/data/definitions/416.html

その他

No	名前	URL
関連文書
1	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/05d345719d85b927cba74afac4d5322de3aa4256)	https://git.kernel.org/stable/c/05d345719d85b927cba74afac4d5322de3aa4256
2	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/249e905571583a434d4ea8d6f92ccc0eef337115)	https://git.kernel.org/stable/c/249e905571583a434d4ea8d6f92ccc0eef337115
3	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/2b001901f689021acd7bf2dceed74a1bdcaaa1f9)	https://git.kernel.org/stable/c/2b001901f689021acd7bf2dceed74a1bdcaaa1f9
4	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/afdb1533eb9c05432aeb793a7280fa827c502f5c)	https://git.kernel.org/stable/c/afdb1533eb9c05432aeb793a7280fa827c502f5c
5	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/b88edf12fc3779521ae5f6f1584153b15f7da6df)	https://git.kernel.org/stable/c/b88edf12fc3779521ae5f6f1584153b15f7da6df
6	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/e23bf444512cb85d76012080a76cd1f9e967448e)	https://git.kernel.org/stable/c/e23bf444512cb85d76012080a76cd1f9e967448e
7	net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/fa103fc8f56954a60699a29215cb713448a39e87)	https://git.kernel.org/stable/c/fa103fc8f56954a60699a29215cb713448a39e87

変更履歴

No	変更内容	変更日
1	[2026年05月28日] 掲載	2026年5月28日14:43

NVD脆弱性情報

CVE-2026-23454

概要	In the Linux kernel, the following vulnerability has been resolved: net: mana: fix use-after-free in mana_hwc_destroy_channel() by reordering teardown A potential race condition exists in mana_hwc_destroy_channel() where hwc->caller_ctx is freed before the HWC's Completion Queue (CQ) and Event Queue (EQ) are destroyed. This allows an in-flight CQ interrupt handler to dereference freed memory, leading to a use-after-free or NULL pointer dereference in mana_hwc_handle_resp(). mana_smc_teardown_hwc() signals the hardware to stop but does not synchronize against IRQ handlers already executing on other CPUs. The IRQ synchronization only happens in mana_hwc_destroy_cq() via mana_gd_destroy_eq() -> mana_gd_deregister_irq(). Since this runs after kfree(hwc->caller_ctx), a concurrent mana_hwc_rx_event_handler() can dereference freed caller_ctx (and rxq->msg_buf) in mana_hwc_handle_resp(). Fix this by reordering teardown to reverse-of-creation order: destroy the TX/RX work queues and CQ/EQ before freeing hwc->caller_ctx. This ensures all in-flight interrupt handlers complete before the memory they access is freed.
公表日	2026年4月4日1:16
登録日	2026年4月15日11:24
最終更新日	2026年4月7日22:21

No	URL	refsource
1	https://git.kernel.org/stable/c/05d345719d85b927cba74afac4d5322de3aa4256	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/249e905571583a434d4ea8d6f92ccc0eef337115	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/2b001901f689021acd7bf2dceed74a1bdcaaa1f9	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/afdb1533eb9c05432aeb793a7280fa827c502f5c	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/e23bf444512cb85d76012080a76cd1f9e967448e	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/fa103fc8f56954a60699a29215cb713448a39e87	416baaa9-dc9f-4396-8d5f-8c081fb06d67