製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux KernelにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性

タイトル	LinuxのLinux KernelにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました：f2fsにおけるextentノードの破棄と書き戻し処理間で発生するnode_cntの競合状態の修正です。f2fs_destroy_extent_node()はextentノードをクリアする前にFI_NO_EXTENTを設定していません。I_SYNCが設定された状態でf2fs_drop_inode()から呼び出されると、同時に動作するkworkerの書き戻し処理が同じextentツリーに新しいextentノードを挿入し、破棄処理と競合して__destroy_extent_node()内でf2fs_bug_on()が発生します。シナリオは以下の通りです。drop inodeからwriteback処理へ進み、iputでf2fs_drop_inodeが呼び出され（I_SYNCが設定された状態）、f2fs_destroy_extent_node内で__destroy_extent_nodeが実行されます。その中でnode_cntが存在する間、write_lock(&et-lock)を取得して__free_extent_treeを実行し、write_unlock(&et-lock)でロックを解除します。その後、__writeback_single_inodeおよびf2fs_outplace_write_data、f2fs_update_read_extent_cache、__update_extent_tree_rangeが順に呼ばれます。しかし、FI_NO_EXTENTが未設定のまま新しいextentノードが挿入されるため、node_cntが0になるまでのループが終了し、f2fs_bug_on(node_cnt)がnode_cnt 0となり失敗します。また、__update_extent_tree_range()はEX_READタイプにのみFI_NO_EXTENTをチェックし、EX_BLOCK_AGEの更新は保護されていません。このパッチでは、__destroy_extent_node()内でet-lockの下でFI_NO_EXTENTを設定し、他の呼び出し元（__update_extent_tree_rangeおよび__drop_extent_tree）と一貫性を保ち、EX_READおよびEX_BLOCK_AGEの両方のツリーに対してFI_NO_EXTENTをチェックするようにしています。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年5月28日0:00
登録日	2026年6月11日16:22
最終更新日	2026年6月11日16:22

CVSS3.0 : 警告
スコア	4.7
ベクター	CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

Linux

Linux Kernel 6.12.5 以上 6.12.88 未満

Linux Kernel 6.13 以上 6.18.30 未満

Linux Kernel 6.19 以上 7.0.7 未満

Linux Kernel 6.6.66 以上 6.6.140 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-46194	https://www.cve.org/CVERecord?id=CVE-2026-46194
National Vulnerability Database (NVD)
2	CVE-2026-46194	https://nvd.nist.gov/vuln/detail/CVE-2026-46194

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-367	https://cwe.mitre.org/data/definitions/367.html

その他

No	名前	URL
関連文書
1	f2fs: fix node_cnt race between extent node destroy and writeback - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/0559a0e962aacbb47519e26ee663be04b72dcb92)	https://git.kernel.org/stable/c/0559a0e962aacbb47519e26ee663be04b72dcb92
2	f2fs: fix node_cnt race between extent node destroy and writeback - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/42dd1c91f993431d0b399502479d00e6ad1bca71)	https://git.kernel.org/stable/c/42dd1c91f993431d0b399502479d00e6ad1bca71
3	f2fs: fix node_cnt race between extent node destroy and writeback - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/ab1eaf9d5c99042f5b0243bf67a06283a4c0757f)	https://git.kernel.org/stable/c/ab1eaf9d5c99042f5b0243bf67a06283a4c0757f
4	f2fs: fix node_cnt race between extent node destroy and writeback - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/b0e4395870eb3441ddc959f6710b5f6ca61aff26)	https://git.kernel.org/stable/c/b0e4395870eb3441ddc959f6710b5f6ca61aff26
5	f2fs: fix node_cnt race between extent node destroy and writeback - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/ed78aeebef05212ef7dca93bd931e4eff67c113f)	https://git.kernel.org/stable/c/ed78aeebef05212ef7dca93bd931e4eff67c113f

変更履歴

No	変更内容	変更日
1	[2026年06月11日] 掲載	2026年6月11日16:22

NVD脆弱性情報

CVE-2026-46194

概要	In the Linux kernel, the following vulnerability has been resolved: f2fs: fix node_cnt race between extent node destroy and writeback f2fs_destroy_extent_node() does not set FI_NO_EXTENT before clearing extent nodes. When called from f2fs_drop_inode() with I_SYNC set, concurrent kworker writeback can insert new extent nodes into the same extent tree, racing with the destroy and triggering f2fs_bug_on() in __destroy_extent_node(). The scenario is as follows: drop inode writeback - iput - f2fs_drop_inode // I_SYNC set - f2fs_destroy_extent_node - __destroy_extent_node - while (node_cnt) { write_lock(&et->lock) __free_extent_tree write_unlock(&et->lock) - __writeback_single_inode - f2fs_outplace_write_data - f2fs_update_read_extent_cache - __update_extent_tree_range // FI_NO_EXTENT not set, // insert new extent node } // node_cnt == 0, exit while - f2fs_bug_on(node_cnt) // node_cnt > 0 Additionally, __update_extent_tree_range() only checks FI_NO_EXTENT for EX_READ type, leaving EX_BLOCK_AGE updates completely unprotected. This patch set FI_NO_EXTENT under et->lock in __destroy_extent_node(), consistent with other callers (__update_extent_tree_range and __drop_extent_tree) and check FI_NO_EXTENT for both EX_READ and EX_BLOCK_AGE tree.
公表日	2026年5月28日19:16
登録日	2026年5月29日4:13
最終更新日	2026年5月28日22:44

No	URL	refsource
1	https://git.kernel.org/stable/c/0559a0e962aacbb47519e26ee663be04b72dcb92	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/42dd1c91f993431d0b399502479d00e6ad1bca71	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/ab1eaf9d5c99042f5b0243bf67a06283a4c0757f	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/b0e4395870eb3441ddc959f6710b5f6ca61aff26	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/ed78aeebef05212ef7dca93bd931e4eff67c113f	416baaa9-dc9f-4396-8d5f-8c081fb06d67