製品・ソフトウェアに関する情報

JVN脆弱性詳細

LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性

タイトル	LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性
概要	Linuxカーネルにおいて、以下の脆弱性が修正されました。fbdev: udlfbのdlfb_ops_mmapにvm_opsを追加し、use-after-freeを防止します。dlfb_ops_mmap()はremap_pfn_range()を使用してvmallocのフレームバッファページをユーザースペースにマップしますが、VMAに対してvm_opsを設定していませんでした。そのため、カーネルはアクティブなmmapを追跡できません。dlfb_realloc_framebuffer()がFBIOPUT_VSCREENINFO経由でバックバッファを置き換えると、既存のmmap PTEは無効化されません。USB切断時にdlfb_ops_destroy()は古いページに対してvfree()を呼び出しますが、ユーザースペースのPTEはそれらを参照したままで、use-after-freeが発生します。プロセスは解放されたカーネルページへの読み書きアクセスを保持してしまいます。open/closeコールバックを持つvm_operations_structを追加し、struct dlfb_dataのatomic mmap_countを管理します。dlfb_realloc_framebuffer()ではmmap_countをチェックし、バッファが現在マップされていれば-EBUSYを返して、ユーザースペースが古いPTEを保持している間のバッファ置換を防止します。PoCを使用し、dummy_hcdとraw_gadget USBデバイスエミュレーションによってテスト済みです。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
公表日	2026年5月21日0:00
登録日	2026年6月29日11:18
最終更新日	2026年6月29日11:18

CVSS3.0 : 重要
スコア	7.3
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

影響を受けるシステム

Linux

Linux Kernel 4.19 以上 5.10.258 未満

Linux Kernel 5.11 以上 5.15.209 未満

Linux Kernel 5.16 以上 6.1.175 未満

Linux Kernel 6.13 以上 6.18.30 未満

Linux Kernel 6.19 以上 7.0.7 未満

Linux Kernel 6.2 以上 6.6.140 未満

Linux Kernel 6.7 以上 6.12.88 未満

Linux Kernel 7.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-43497	https://www.cve.org/CVERecord?id=CVE-2026-43497
National Vulnerability Database (NVD)
2	CVE-2026-43497	https://nvd.nist.gov/vuln/detail/CVE-2026-43497

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-416	https://cwe.mitre.org/data/definitions/416.html

その他

No	名前	URL
関連文書
1	fbdev: udlfb: add vm_ops to dlfb_ops_mmap to prevent use-after-free - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/18dd358de72d57993422cbb5dfb29ccd74efe192)	https://git.kernel.org/stable/c/18dd358de72d57993422cbb5dfb29ccd74efe192
2	fbdev: udlfb: add vm_ops to dlfb_ops_mmap to prevent use-after-free - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/4f312c30f0368e8d2a76aa650dff73f23490b5e7)	https://git.kernel.org/stable/c/4f312c30f0368e8d2a76aa650dff73f23490b5e7
3	fbdev: udlfb: add vm_ops to dlfb_ops_mmap to prevent use-after-free - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/5931f5651ee32bd41b3323256b31fcc8e71336ed)	https://git.kernel.org/stable/c/5931f5651ee32bd41b3323256b31fcc8e71336ed
4	fbdev: udlfb: add vm_ops to dlfb_ops_mmap to prevent use-after-free - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/60f711cfd580f86fea8284146ac133804e728f9a)	https://git.kernel.org/stable/c/60f711cfd580f86fea8284146ac133804e728f9a
5	fbdev: udlfb: add vm_ops to dlfb_ops_mmap to prevent use-after-free - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/8de779dc40d35d39fa07387b6f921eb11df0f511)	https://git.kernel.org/stable/c/8de779dc40d35d39fa07387b6f921eb11df0f511
6	fbdev: udlfb: add vm_ops to dlfb_ops_mmap to prevent use-after-free - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/a2c53a3822ee26e8d758071815b9ed3bf6669fc1)	https://git.kernel.org/stable/c/a2c53a3822ee26e8d758071815b9ed3bf6669fc1
7	fbdev: udlfb: add vm_ops to dlfb_ops_mmap to prevent use-after-free - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/da9b065cedfd3b574f229d5be594e6aa47a27ae6)	https://git.kernel.org/stable/c/da9b065cedfd3b574f229d5be594e6aa47a27ae6
8	fbdev: udlfb: add vm_ops to dlfb_ops_mmap to prevent use-after-free - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/e3d9865dacd7435b8465848428210d0f0c673311)	https://git.kernel.org/stable/c/e3d9865dacd7435b8465848428210d0f0c673311

変更履歴

No	変更内容	変更日
1	[2026年06月29日] 掲載	2026年6月29日11:18

NVD脆弱性情報

CVE-2026-43497

概要	In the Linux kernel, the following vulnerability has been resolved: fbdev: udlfb: add vm_ops to dlfb_ops_mmap to prevent use-after-free dlfb_ops_mmap() uses remap_pfn_range() to map vmalloc framebuffer pages to userspace but sets no vm_ops on the VMA. This means the kernel cannot track active mmaps. When dlfb_realloc_framebuffer() replaces the backing buffer via FBIOPUT_VSCREENINFO, existing mmap PTEs are not invalidated. On USB disconnect, dlfb_ops_destroy() calls vfree() on the old pages while userspace PTEs still reference them, resulting in a use-after-free: the process retains read/write access to freed kernel pages. Add vm_operations_struct with open/close callbacks that maintain an atomic mmap_count on struct dlfb_data. In dlfb_realloc_framebuffer(), check mmap_count and return -EBUSY if the buffer is currently mapped, preventing buffer replacement while userspace holds stale PTEs. Tested with PoC using dummy_hcd + raw_gadget USB device emulation.
公表日	2026年5月21日22:16
登録日	2026年5月22日4:07
最終更新日	2026年5月23日1:33

No	URL	refsource
1	https://git.kernel.org/stable/c/18dd358de72d57993422cbb5dfb29ccd74efe192	416baaa9-dc9f-4396-8d5f-8c081fb06d67
2	https://git.kernel.org/stable/c/4f312c30f0368e8d2a76aa650dff73f23490b5e7	416baaa9-dc9f-4396-8d5f-8c081fb06d67
3	https://git.kernel.org/stable/c/8de779dc40d35d39fa07387b6f921eb11df0f511	416baaa9-dc9f-4396-8d5f-8c081fb06d67
4	https://git.kernel.org/stable/c/a2c53a3822ee26e8d758071815b9ed3bf6669fc1	416baaa9-dc9f-4396-8d5f-8c081fb06d67
5	https://git.kernel.org/stable/c/da9b065cedfd3b574f229d5be594e6aa47a27ae6	416baaa9-dc9f-4396-8d5f-8c081fb06d67