製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける不特定の脆弱性

タイトル	LinuxのLinux Kernelにおける不特定の脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました。MIPSでは、グローバルレジスタ変数としてgpが使用される場合のLLVMのバグに対処しました。MIPSにおいて、__current_thread_infoは$gpに位置するグローバルレジスタ変数として定義されており、カーネルのリロケーション中に新しいアドレスが単純に代入されます。しかし、LLVMでは$gpが何らかの形で破壊されたと判断されると、常に$gpを復元します。そのため、意図的にグローバルレジスタ変数を通じて破壊された場合でも復元してしまいます。これは、グローバルレジスタ変数として使用されるcallee-savedレジスタが破壊された場合に復元しないように求めるGCCのドキュメント[1]に反しています。その結果、relocate_kernel()のエピローグ後に$gpはリロケートされていないカーネルを指し続け、そのためinit_idleで早期クラッシュが発生します。本バグはLLVM[2]に報告されており、バージョン18から21（少なくとも）に影響します。修正が広く利用可能になるまで、インラインアセンブリを使用して$gpを代入することでこの問題を回避しています。
想定される影響	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年6月3日0:00
登録日	2026年6月10日14:26
最終更新日	2026年6月10日14:26

CVSS3.0 : 重要
スコア	7.3
ベクター	CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H

影響を受けるシステム

Linux

Linux Kernel 4.7 以上 5.10.252 未満

Linux Kernel 5.11 以上 5.15.202 未満

Linux Kernel 5.16 以上 6.1.165 未満

Linux Kernel 6.13 以上 6.18.14 未満

Linux Kernel 6.19 以上 6.19.4 未満

Linux Kernel 6.2 以上 6.6.128 未満

Linux Kernel 6.7 以上 6.12.75 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-46250	https://www.cve.org/CVERecord?id=CVE-2026-46250
National Vulnerability Database (NVD)
2	CVE-2026-46250	https://nvd.nist.gov/vuln/detail/CVE-2026-46250

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

その他

No	名前	URL
関連文書
1	MIPS: Work around LLVM bug when gp is used as global register variable - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/05bff9b0ae095b2420cfebb4a96759a09334bec6)	https://git.kernel.org/stable/c/05bff9b0ae095b2420cfebb4a96759a09334bec6
2	MIPS: Work around LLVM bug when gp is used as global register variable - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/1fe3b402b1e97a1718df3be0a1d3eee20133e735)	https://git.kernel.org/stable/c/1fe3b402b1e97a1718df3be0a1d3eee20133e735
3	MIPS: Work around LLVM bug when gp is used as global register variable - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/30bfc2d6a1132a89a5f1c3b96c59cf3e4d076ea3)	https://git.kernel.org/stable/c/30bfc2d6a1132a89a5f1c3b96c59cf3e4d076ea3
4	MIPS: Work around LLVM bug when gp is used as global register variable - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/4dc65b40fb80c2020efbf139b9a38d30f9a37b92)	https://git.kernel.org/stable/c/4dc65b40fb80c2020efbf139b9a38d30f9a37b92
5	MIPS: Work around LLVM bug when gp is used as global register variable - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/561834f6d6f52b8a1791331e94b2aac753491d2a)	https://git.kernel.org/stable/c/561834f6d6f52b8a1791331e94b2aac753491d2a
6	MIPS: Work around LLVM bug when gp is used as global register variable - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/9bc3b0ae5203aba650297fdf3e1e774125e423f2)	https://git.kernel.org/stable/c/9bc3b0ae5203aba650297fdf3e1e774125e423f2
7	MIPS: Work around LLVM bug when gp is used as global register variable - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/c0155dee51b9f5f48aaf5c71cae005eb0e36521f)	https://git.kernel.org/stable/c/c0155dee51b9f5f48aaf5c71cae005eb0e36521f
8	MIPS: Work around LLVM bug when gp is used as global register variable - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/e3a6498a63394218561065a9a7a597a204f52f6a)	https://git.kernel.org/stable/c/e3a6498a63394218561065a9a7a597a204f52f6a

変更履歴

No	変更内容	変更日
1	[2026年06月10日] 掲載	2026年6月10日14:26

NVD脆弱性情報

CVE-2026-46250

概要	In the Linux kernel, the following vulnerability has been resolved: MIPS: Work around LLVM bug when gp is used as global register variable On MIPS, __current_thread_info is defined as global register variable locating in $gp, and is simply assigned with new address during kernel relocation. This however is broken with LLVM, which always restores $gp if it finds $gp is clobbered in any form, including when intentionally through a global register variable. This is against GCC's documentation[1], which requires a callee-saved register used as global register variable not to be restored if it's clobbered. As a result, $gp will continue to point to the unrelocated kernel after the epilog of relocate_kernel(), leading to an early crash in init_idle, [ 0.000000] CPU 0 Unable to handle kernel paging request at virtual address 0000000000000000, epc == ffffffff81afada8, ra == ffffffff81afad90 [ 0.000000] Oops[#1]: [ 0.000000] CPU: 0 UID: 0 PID: 0 Comm: swapper Tainted: G W 6.19.0-rc5-00262-gd3eeb99bbc99-dirty #188 VOLUNTARY [ 0.000000] Tainted: [W]=WARN [ 0.000000] Hardware name: loongson,loongson64v-4core-virtio [ 0.000000] $ 0 : 0000000000000000 0000000000000000 0000000000000001 0000000000000000 [ 0.000000] $ 4 : ffffffff80b80ec0 ffffffff80b53d48 0000000000000000 00000000000f4240 [ 0.000000] $ 8 : 0000000000000100 ffffffff81d82f80 ffffffff81d82f80 0000000000000001 [ 0.000000] $12 : 0000000000000000 ffffffff81776f58 00000000000005da 0000000000000002 [ 0.000000] $16 : ffffffff80b80e40 0000000000000000 ffffffff80b81614 9800000005dfbe80 [ 0.000000] $20 : 00000000540000e0 ffffffff81980000 0000000000000000 ffffffff80f81c80 [ 0.000000] $24 : 0000000000000a26 ffffffff8114fb90 [ 0.000000] $28 : ffffffff80b50000 ffffffff80b53d40 0000000000000000 ffffffff81afad90 [ 0.000000] Hi : 0000000000000000 [ 0.000000] Lo : 0000000000000000 [ 0.000000] epc : ffffffff81afada8 init_idle+0x130/0x270 [ 0.000000] ra : ffffffff81afad90 init_idle+0x118/0x270 [ 0.000000] Status: 540000e2 KX SX UX KERNEL EXL [ 0.000000] Cause : 00000008 (ExcCode 02) [ 0.000000] BadVA : 0000000000000000 [ 0.000000] PrId : 00006305 (ICT Loongson-3) [ 0.000000] Process swapper (pid: 0, threadinfo=(____ptrval____), task=(____ptrval____), tls=0000000000000000) [ 0.000000] Stack : 9800000005dfbf00 ffffffff8178e950 0000000000000000 0000000000000000 [ 0.000000] 0000000000000000 ffffffff81970000 000000000000003f ffffffff810a6528 [ 0.000000] 0000000000000001 9800000005dfbe80 9800000005dfbf00 ffffffff81980000 [ 0.000000] ffffffff810a6450 ffffffff81afb6c0 0000000000000000 ffffffff810a2258 [ 0.000000] ffffffff81d82ec8 ffffffff8198d010 ffffffff81b67e80 ffffffff8197dd98 [ 0.000000] ffffffff81d81c80 ffffffff81930000 0000000000000040 0000000000000000 [ 0.000000] 0000000000000000 0000000000000000 0000000000000000 0000000000000000 [ 0.000000] 0000000000000000 000000000000009e ffffffff9fc01000 0000000000000000 [ 0.000000] 0000000000000000 0000000000000000 0000000000000000 0000000000000000 [ 0.000000] 0000000000000000 ffffffff81ae86dc ffffffff81b3c741 0000000000000002 [ 0.000000] ... [ 0.000000] Call Trace: [ 0.000000] [<ffffffff81afada8>] init_idle+0x130/0x270 [ 0.000000] [<ffffffff81afb6c0>] sched_init+0x5c8/0x6c0 [ 0.000000] [<ffffffff81ae86dc>] start_kernel+0x27c/0x7a8 This bug has been reported to LLVM[2] and affects version from (at least) 18 to 21. Let's work around this by using inline assembly to assign $gp before a fix is widely available.
公表日	2026年6月4日3:16
登録日	2026年6月4日4:16
最終更新日	2026年6月5日16:16

No	URL	refsource
1	https://git.kernel.org/stable/c/05bff9b0ae095b2420cfebb4a96759a09334bec6	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/1fe3b402b1e97a1718df3be0a1d3eee20133e735	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/30bfc2d6a1132a89a5f1c3b96c59cf3e4d076ea3	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/4dc65b40fb80c2020efbf139b9a38d30f9a37b92	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/561834f6d6f52b8a1791331e94b2aac753491d2a	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/9bc3b0ae5203aba650297fdf3e1e774125e423f2	416baaa9-dc9f-4396-8d5f-8c081fb06d67
7	https://git.kernel.org/stable/c/c0155dee51b9f5f48aaf5c71cae005eb0e36521f	416baaa9-dc9f-4396-8d5f-8c081fb06d67
8	https://git.kernel.org/stable/c/e3a6498a63394218561065a9a7a597a204f52f6a	416baaa9-dc9f-4396-8d5f-8c081fb06d67