製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける境界外書き込みに関する脆弱性

タイトル	LinuxのLinux Kernelにおける境界外書き込みに関する脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました。pstore/ramのpersistent_ram_save_old()関数におけるバッファオーバーフローの修正です。persistent_ram_save_old()は、同じpersistent_ram_zoneに対して複数回呼び出される可能性があります（例: ramoops_pstore_readからramoops_get_next_prz経由でPSTORE_TYPE_DMESGレコードに対して呼び出されます）。現在、この関数はprz-old_logがNULLの場合にのみメモリを割り当てますが、prz-old_log_sizeは無条件に現在のバッファサイズに更新され、その新しいサイズを使ってmemcpy_fromio()を実行します。バッファサイズが最初の割り当て時から増加している場合（異なるカーネル起動サイクル間で発生する可能性があります）、次の問題が発生します。1. memcpy_fromio()呼び出しでのヒープバッファオーバーフロー（境界外書き込み）が起こります。2. ramoops_pstore_read()が不正な（より大きい）old_log_sizeを使ってバッファにアクセスし、境界外読み取りが発生します。KASANエラーは以下のように表示されます。BUG: KASAN: slab-out-of-bounds in ramoops_pstore_read+0x... Read of size N at addr ... by task ... 発生条件は極めて厳しいと考えられています。0. 最大レコードサイズ未満のバイト数のramoops書き込みによるクラッシュがあります。1. 再起動し、ramoopsが登録され、pstore_get_records(0)が古いクラッシュを読み取り、サイズXのold_logを割り当てます。2. クラッシュハンドラが登録され、タイマーが開始されます（pstore_update_ms = 0の場合）。3. 致命的でないOopsが発生し（システムは継続動作します）。4. pstore_dump()がramoops_pstore_write()経由でサイズY(X)のOopsを書き込みます。5. pstore_new_entryが1となり、pstore_timer_kick()が呼ばれます。6. システムはパニックを起こさず継続動作します。7. pstore_update_msミリ秒後にタイマーが起動します。8. pstore_timefunc() → schedule_work() → pstore_dowork() → pstore_get_records(1)の順に呼ばれます。9. ramoops_get_next_prz() → persistent_ram_save_old()が呼ばれます。10. buffer_size()はYを返しますが、old_logはXバイトのままです。11. Y Xによりmemcpy_fromio()でヒープオーバーフローが発生します。必要条件は以下の通りです。- 以前にレコードサイズを満たしていないクラッシュレコードが存在すること（クラッシュハンドラはほぼ常に最大レコードサイズおよびkmsgバッファ上限まで書き込むため、ほぼ不可能です）。- pstore_update_ms = 0（デフォルトは無効です）。- 致命的でないOops（システムが生き残る）。新しいサイズが以前に割り当てたサイズと異なる場合、バッファを解放し再割り当てすることでold_logが常にコピーされるデータに十分な領域を持つように保証します。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年6月3日0:00
登録日	2026年6月10日14:26
最終更新日	2026年6月10日14:26

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 3.5

Linux Kernel 3.5.1 以上 5.10.252 未満

Linux Kernel 5.11 以上 5.15.202 未満

Linux Kernel 5.16 以上 6.1.165 未満

Linux Kernel 6.13 以上 6.18.14 未満

Linux Kernel 6.19 以上 6.19.4 未満

Linux Kernel 6.2 以上 6.6.128 未満

Linux Kernel 6.7 以上 6.12.75 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-46253	https://www.cve.org/CVERecord?id=CVE-2026-46253
National Vulnerability Database (NVD)
2	CVE-2026-46253	https://nvd.nist.gov/vuln/detail/CVE-2026-46253

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-787	https://cwe.mitre.org/data/definitions/787.html

その他

No	名前	URL
関連文書
1	pstore/ram: fix buffer overflow in persistent_ram_save_old() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/06d2c8bd108cea503f6f6e13e47495ed1085275f)	https://git.kernel.org/stable/c/06d2c8bd108cea503f6f6e13e47495ed1085275f
2	pstore/ram: fix buffer overflow in persistent_ram_save_old() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/2fa9a047c6a50ec80c3890dd623b85e237f0d1fd)	https://git.kernel.org/stable/c/2fa9a047c6a50ec80c3890dd623b85e237f0d1fd
3	pstore/ram: fix buffer overflow in persistent_ram_save_old() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/4f73486ca822305c1cf5b8ebc0b53a6ab3801a81)	https://git.kernel.org/stable/c/4f73486ca822305c1cf5b8ebc0b53a6ab3801a81
4	pstore/ram: fix buffer overflow in persistent_ram_save_old() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/5669645c052f235726a85f443769b6fc02f66762)	https://git.kernel.org/stable/c/5669645c052f235726a85f443769b6fc02f66762
5	pstore/ram: fix buffer overflow in persistent_ram_save_old() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/58bda5a1d1ee98254383ef34f76b2c35140513ea)	https://git.kernel.org/stable/c/58bda5a1d1ee98254383ef34f76b2c35140513ea
6	pstore/ram: fix buffer overflow in persistent_ram_save_old() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/7cfe964e61c0ab667abd5f5b68e0acbf783efa4f)	https://git.kernel.org/stable/c/7cfe964e61c0ab667abd5f5b68e0acbf783efa4f
7	pstore/ram: fix buffer overflow in persistent_ram_save_old() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/9a6fc69a570c0780834246d52c856cc3dbc2605f)	https://git.kernel.org/stable/c/9a6fc69a570c0780834246d52c856cc3dbc2605f
8	pstore/ram: fix buffer overflow in persistent_ram_save_old() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/cff0ef043e16feb5a02307c8f9d0117a96c5587c)	https://git.kernel.org/stable/c/cff0ef043e16feb5a02307c8f9d0117a96c5587c

変更履歴

No	変更内容	変更日
1	[2026年06月10日] 掲載	2026年6月10日14:26

NVD脆弱性情報

CVE-2026-46253

概要	In the Linux kernel, the following vulnerability has been resolved: pstore/ram: fix buffer overflow in persistent_ram_save_old() persistent_ram_save_old() can be called multiple times for the same persistent_ram_zone (e.g., via ramoops_pstore_read -> ramoops_get_next_prz for PSTORE_TYPE_DMESG records). Currently, the function only allocates prz->old_log when it is NULL, but it unconditionally updates prz->old_log_size to the current buffer size and then performs memcpy_fromio() using this new size. If the buffer size has grown since the first allocation (which can happen across different kernel boot cycles), this leads to: 1. A heap buffer overflow (OOB write) in the memcpy_fromio() calls 2. A subsequent OOB read when ramoops_pstore_read() accesses the buffer using the incorrect (larger) old_log_size The KASAN splat would look similar to: BUG: KASAN: slab-out-of-bounds in ramoops_pstore_read+0x... Read of size N at addr ... by task ... The conditions are likely extremely hard to hit: 0. Crash with a ramoops write of less-than-record-max-size bytes. 1. Reboot: ramoops registers, pstore_get_records(0) reads old crash, allocates old_log with size X 2. Crash handler registered, timer started (if pstore_update_ms >= 0) 3. Oops happens (non-fatal, system continues) 4. pstore_dump() writes oops via ramoops_pstore_write() size Y (>X) 5. pstore_new_entry = 1, pstore_timer_kick() called 6. System continues running (not a panic oops) 7. Timer fires after pstore_update_ms milliseconds 8. pstore_timefunc() → schedule_work() → pstore_dowork() → pstore_get_records(1) 9. ramoops_get_next_prz() → persistent_ram_save_old() 10. buffer_size() returns Y, but old_log is X bytes 11. Y > X: memcpy_fromio() overflows heap Requirements: - a prior crash record exists that did not fill the record size (almost impossible since the crash handler writes as much as it can possibly fit into the record, capped by max record size and the kmsg buffer almost always exceeds the max record size) - pstore_update_ms >= 0 (disabled by default) - Non-fatal oops (system survives) Free and reallocate the buffer when the new size differs from the previously allocated size. This ensures old_log always has sufficient space for the data being copied.
公表日	2026年6月4日3:16
登録日	2026年6月4日4:17
最終更新日	2026年6月5日16:16

No	URL	refsource
1	https://git.kernel.org/stable/c/06d2c8bd108cea503f6f6e13e47495ed1085275f	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/2fa9a047c6a50ec80c3890dd623b85e237f0d1fd	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/4f73486ca822305c1cf5b8ebc0b53a6ab3801a81	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/5669645c052f235726a85f443769b6fc02f66762	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/58bda5a1d1ee98254383ef34f76b2c35140513ea	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/7cfe964e61c0ab667abd5f5b68e0acbf783efa4f	416baaa9-dc9f-4396-8d5f-8c081fb06d67
7	https://git.kernel.org/stable/c/9a6fc69a570c0780834246d52c856cc3dbc2605f	416baaa9-dc9f-4396-8d5f-8c081fb06d67
8	https://git.kernel.org/stable/c/cff0ef043e16feb5a02307c8f9d0117a96c5587c	416baaa9-dc9f-4396-8d5f-8c081fb06d67