LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性

JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-007925 LinuxのLinux Kernelにおける解放済みメモリの使用に関する脆弱性 Linuxカーネルにおいて、以下の脆弱性が修正されました。netfilterのnf_tablesにおけるnft_map_catchall_activate()関数の逆転したgenmaskチェックが修正されました。nft_map_catchall_activate()はcatchallでない対応関数であるnft_mapelem_activate()および論理的に必要な動作と比較すると、要素のアクティビティチェックが逆転していました。nft_map_catchall_activate()は失敗したトランザクション中に非アクティブ化されたcatchallマップ要素を再アクティブ化するために中止パスから呼び出されます。この関数はすでにアクティブな要素をスキップし（再アクティブ化不要）、非アクティブな要素を処理すべきですが、現行のコードはその逆を行い、非アクティブな要素をスキップしアクティブな要素を処理していました。正しい非catchall版のコールバックであるnft_mapelem_activate()と比較すると、バグのあるcatchall版は不適切な条件を用いています。この結果、DELSET操作が中止された場合、catchall要素に対してnft_setelem_data_activate()が呼ばれず、NFT_GOTO判定要素においてnft_data_hold()が呼ばれずにchain-use参照カウントが復元されません。そのため、各中止サイクルでchain-useが永久に減少し、ゼロになるとDELCHAINが成功してチェーンを解放しますが、catchall判定要素はまだそれを参照し続け、use-after-freeが発生します。この脆弱性はCONFIG_USER_NSとCONFIG_NF_TABLESが有効なディストリビューションにおいて、ユーザーネームスペースとnftablesを通じて非特権ユーザーがローカル権限昇格を行うために悪用可能です。修正では否定を除去し、チェックがnft_mapelem_activate()と一致するように変更し、アクティブな要素をスキップし非アクティブな要素を処理する動作に修正しました。 cpe:/o:linux:linux_kernel https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-007925.html Common Vulnerabilities and Exposures (CVE) CVE-2026-23111 https://www.cve.org/CVERecord?id=CVE-2026-23111 National Vulnerability Database (NVD) CVE-2026-23111 https://nvd.nist.gov/vuln/detail/CVE-2026-23111 JVNDB CWE-416 解放済みメモリの使用 https://cwe.mitre.org/data/definitions/416.html 関連文書 netfilter: nf_tables: fix inverted genmask check in nft_map_catchall_activate() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/8b68a45f9722f2babe9e7bad00aa74638addf081) https://git.kernel.org/stable/c/8b68a45f9722f2babe9e7bad00aa74638addf081 関連文書 netfilter: nf_tables: fix inverted genmask check in nft_map_catchall_activate() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/8c760ba4e36c750379d13569f23f5a6e185333f5) https://git.kernel.org/stable/c/8c760ba4e36c750379d13569f23f5a6e185333f5 関連文書 netfilter: nf_tables: fix inverted genmask check in nft_map_catchall_activate() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/1444ff890b4653add12f734ffeffc173d42862dd) https://git.kernel.org/stable/c/1444ff890b4653add12f734ffeffc173d42862dd 関連文書 netfilter: nf_tables: fix inverted genmask check in nft_map_catchall_activate() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/f41c5d151078c5348271ffaf8e7410d96f2d82f8) https://git.kernel.org/stable/c/f41c5d151078c5348271ffaf8e7410d96f2d82f8 関連文書 netfilter: nf_tables: fix inverted genmask check in nft_map_catchall_activate() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/42c574c1504aa089a0a142e4c13859327570473d) https://git.kernel.org/stable/c/42c574c1504aa089a0a142e4c13859327570473d 関連文書 netfilter: nf_tables: fix inverted genmask check in nft_map_catchall_activate() - kernel/git/stable/linux.git - Linux kernel stable tree (https://git.kernel.org/stable/c/b9b6573421de51829f7ec1cce76d85f5f6fbbd7f) https://git.kernel.org/stable/c/b9b6573421de51829f7ec1cce76d85f5f6fbbd7f 2026-03-19T12:23:44+09:00 2026-03-19T12:23:44+09:00