製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける再帰制御に関する脆弱性

タイトル	LinuxのLinux Kernelにおける再帰制御に関する脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました。scsi: target: configfs の tg_pt_gp_members_show() における snprintf() の戻り値に基づく境界チェックが追加されました。target_tg_pt_gp_members_show() は LUN パスを snprintf() で 256 バイトのスタックバッファにフォーマットし、その後バッファから cur_len バイトを memcpy() でコピーします。snprintf() は出力しようとした長さを返しますが、iSCSI IQN 名が最大 223 バイトでファブリック WWN が長い場合、この長さがバッファサイズを超えることがあります。memcpy() の部分のチェックはコピー先ページの書き込みのみを保護し、コピー元の読み取りは保護していません。そのため、memcpy() はスタックバッファを超えて読み取り、隣接するスタック内容を sysfs の読み取り者にコピーしてしまいます。CONFIG_FORTIFY_SOURCE が有効な場合は、fortify_panic() が発動します。コミット 27e06650a5ea（"scsi: target: target_core_configfs: Add length check to avoid buffer overflow"）では target_lu_gp_members_show() に同様の境界チェックが追加されましたが、tg_pt_gp_ のバリアントは見逃されていたため、今回ここで修正されました。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年5月28日0:00
登録日	2026年6月11日16:22
最終更新日	2026年6月11日16:22

CVSS3.0 : 重要
スコア	7.1
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H

影響を受けるシステム

Linux

Linux Kernel 2.6.38 以上 5.10.258 未満

Linux Kernel 5.11 以上 5.15.209 未満

Linux Kernel 5.16 以上 6.1.175 未満

Linux Kernel 6.13 以上 6.18.30 未満

Linux Kernel 6.19 以上 7.0.7 未満

Linux Kernel 6.2 以上 6.6.140 未満

Linux Kernel 6.7 以上 6.12.88 未満

Linux Kernel 7.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-46149	https://www.cve.org/CVERecord?id=CVE-2026-46149
National Vulnerability Database (NVD)
2	CVE-2026-46149	https://nvd.nist.gov/vuln/detail/CVE-2026-46149

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-674	https://cwe.mitre.org/data/definitions/674.html

その他

No	名前	URL
関連文書
1	scsi: target: configfs: Bound snprintf() return in tg_pt_gp_members_show() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/00d91bfdce5033f5d9b4915638ae9b0553848b5d)	https://git.kernel.org/stable/c/00d91bfdce5033f5d9b4915638ae9b0553848b5d
2	scsi: target: configfs: Bound snprintf() return in tg_pt_gp_members_show() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/12f2201a56957ba020392223a7393a5eba080c1b)	https://git.kernel.org/stable/c/12f2201a56957ba020392223a7393a5eba080c1b
3	scsi: target: configfs: Bound snprintf() return in tg_pt_gp_members_show() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/1f678d13e939f91840cb1ebe9b88544923539d3c)	https://git.kernel.org/stable/c/1f678d13e939f91840cb1ebe9b88544923539d3c
4	scsi: target: configfs: Bound snprintf() return in tg_pt_gp_members_show() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/72cc5ea7ef32bb5fa38bf0dd2e56fcd73aa8c89e)	https://git.kernel.org/stable/c/72cc5ea7ef32bb5fa38bf0dd2e56fcd73aa8c89e
5	scsi: target: configfs: Bound snprintf() return in tg_pt_gp_members_show() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/772a896a56e0e3ef9424a025cec9176f9d8f4552)	https://git.kernel.org/stable/c/772a896a56e0e3ef9424a025cec9176f9d8f4552
6	scsi: target: configfs: Bound snprintf() return in tg_pt_gp_members_show() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/d3cc9d490c207d57a289054397349f6f8c90354e)	https://git.kernel.org/stable/c/d3cc9d490c207d57a289054397349f6f8c90354e
7	scsi: target: configfs: Bound snprintf() return in tg_pt_gp_members_show() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/db0a4759d62cad4ff891e2d81ae4be73bb57f4a4)	https://git.kernel.org/stable/c/db0a4759d62cad4ff891e2d81ae4be73bb57f4a4
8	scsi: target: configfs: Bound snprintf() return in tg_pt_gp_members_show() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/e501154f9d82c95d2719bcbbaf679d8fd3226ef7)	https://git.kernel.org/stable/c/e501154f9d82c95d2719bcbbaf679d8fd3226ef7

変更履歴

No	変更内容	変更日
1	[2026年06月11日] 掲載	2026年6月11日16:22

NVD脆弱性情報

CVE-2026-46149

概要	In the Linux kernel, the following vulnerability has been resolved: scsi: target: configfs: Bound snprintf() return in tg_pt_gp_members_show() target_tg_pt_gp_members_show() formats LUN paths with snprintf() into a 256-byte stack buffer, then will memcpy() cur_len bytes from that buffer. snprintf() returns the length the output would have had, which can exceed the buffer size when the fabric WWN is long because iSCSI IQN names can be up to 223 bytes. The check at the memcpy() site only guards the destination page write, not the source read, so memcpy() will read past the stack buffer and copy adjacent stack contents to the sysfs reader, which when CONFIG_FORTIFY_SOURCE is enabled, fortify_panic() will be triggered. Commit 27e06650a5ea ("scsi: target: target_core_configfs: Add length check to avoid buffer overflow") added the same bound to the target_lu_gp_members_show() but the tg_pt_gp variant was missed so resolve that here.
公表日	2026年5月28日19:16
登録日	2026年5月29日4:13
最終更新日	2026年6月2日2:17

No	URL	refsource
1	https://git.kernel.org/stable/c/00d91bfdce5033f5d9b4915638ae9b0553848b5d	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/12f2201a56957ba020392223a7393a5eba080c1b	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/1f678d13e939f91840cb1ebe9b88544923539d3c	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/72cc5ea7ef32bb5fa38bf0dd2e56fcd73aa8c89e	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/772a896a56e0e3ef9424a025cec9176f9d8f4552	416baaa9-dc9f-4396-8d5f-8c081fb06d67
6	https://git.kernel.org/stable/c/d3cc9d490c207d57a289054397349f6f8c90354e	416baaa9-dc9f-4396-8d5f-8c081fb06d67
7	https://git.kernel.org/stable/c/db0a4759d62cad4ff891e2d81ae4be73bb57f4a4	416baaa9-dc9f-4396-8d5f-8c081fb06d67
8	https://git.kernel.org/stable/c/e501154f9d82c95d2719bcbbaf679d8fd3226ef7	416baaa9-dc9f-4396-8d5f-8c081fb06d67