つみかさね

CVE-2026-23112

Critical(9.8)

CVE-2026-23112 — Linux kernel nvmet-tcp 境界外書き込み

公開日: 2026-03-20データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Linux kernel (nvmet-tcp)Linuxパッチ未適用バージョン
CVELinuxカーネルnvmet-tcpOOB書き込み

概要

Linux kernel の NVMe-oF TCP ターゲット ドライバ(nvmet-tcp)に 境界外書き込み の 脆弱性 が 存在 します。nvmet_tcp_build_pdu_iovec() 関数 において、PDU の 長さ や オフセット が scatter-gather リスト の 要素数(sg_cnt)を 超える 場合 の 境界 チェック が 不十分 です。

この 欠陥 に より、攻撃者 は 不正 な PDU を 送信 する こと で カーネル メモリ の 境界外 に データ を 書き込む こと が 可能 と なり、General Protection Fault(GPF)や KASAN に よる 検出 が 報告 されて います。CWE-787(境界外書き込み)に 分類 される この 脆弱性 は、カーネル レベル で の コード 実行 や サービス 拒否 に 直結 する 可能性 が あります。

NVMe-oF TCP ターゲット を 運用 して いる 環境 で は、速やか に カーネル パッチ を 適用 して ください。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
CWECWE-787 (境界外書き込み)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Linux kernel (nvmet-tcp)Linuxパッチ未適用バージョン

修正バージョンと回避策

  • 修正: カーネル パッチ(commit 043b4307a99f)を 適用 する。各 ディストリビューション の セキュリティ アップデート を 確認 して ください
  • 暫定回避策: NVMe-oF TCP ターゲット を 使用 して いない 場合 は、nvmet-tcp モジュール の ロード を 無効化 する こと で リスク を 低減 できます

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-23192Linux kernel UAFCVSS 7.8CVE-2026-23194Linux kernel rust_binderCVSS 7.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-23112
kernel.org:https://git.kernel.org/stable/c/043b4307a99f902697349128fde93b2ddde4686c
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。