Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - ksmbd:検証num_aces および harden ACE ウォーク イン smb_inherit_dacl() smb_inherit_dacl() は親ディレクトリのディスク上の num_aces 値を信頼し、それを使ってヒープ割り当てのサイズを決定します:aces_base = kmalloc(sizeof(struct smb_ace) * num_aces * 2, ...);num_acesは、宣言されたpdacl_sizeと整合性を確認せずに、le16_to_cpu(parent_pdacl->num_aces)から読み取ったu16です。
    親ディレクトリのセキュリティを持つ認証済みクライアントです。NTACLは改ざんされます(例:オフラインのxattr破損やparse_dacl()をバイパスする並行パスなど)は、実際のACEデータが最小限でnum_aces = 65535になることがあります。これにより~8MBの割り当て(kzallocではなく初期化されていない)が生じ、その後のループは部分的にしか埋まりません。また、32ビットカーネルの乗算が3方向size_tをオーバーフローすることがあります。
    さらに、ACEウォークループは最小有効なオンワイヤーACEサイズではなく、より弱いoffsetof(struct smb_ace, access_req)最小サイズチェックを用いており、最小サイズ未満のACEは拒否しません。実際のksmbdコードパスに対してUML + KASAN + LOCKDEP上で再現。正規のmount.cifsクライアントはSMB上に親ディレクトリを作成します(ksmbdは有効なセキュリティを書き込みます。NTACL xattr)を使い、バックアップファイルシステムのNTACLブロブを書き換え、0xFFFF num_aces posix_acl_hashバイトはそのまま保つように書き換えられ、ksmbd_vfs_get_sd_xattr()のハッシュチェックが通るようになります。その後、その親の下で子のSMB2 CREATEがsmb2_open()をsmb_inherit_dacl()にドライブします(shareのvfs objects = acl_xattr set)。これによりページアロケーターが失敗します:警告:mm/page_alloc.c:5226 at __alloc_frozen_pages_noprof+0x46c/0x9c0 ワークキュー:ksmbd-io handle_ksmbd_work __alloc_frozen_pages_noprof+0x46c/0x9c0
    ___kmalloc_large_node+0x68/0x130 __kmalloc_large_node_noprof+0x24/0x70 __kmalloc_noprof+0x4c9/0x690 smb_inherit_dacl+0x394/0x2430 smb2_open+0x595d/0xabe0 handle_ksmbd_work+0x3d3/0x1140パッチを適用すると、追加のガードは大きな割り当てを実行する前に改ざんされた値を-EINVALで拒否し、smb2_open()はsmb2_create_sd_buffer()に戻されます。 子はデフォルトのSDで作成されます。警告もなく、バシャッと音もなかった。修正方法: 1. parse_dacl()で適用されたのと同じ式を用いてpdacl_sizeに対してnum_acesを検証する。2. 生のkmalloc(サイズ * num_aces * 2)をオーバーフロー安全な割り当てのためにkmalloc_array(num_aces * 2, sizeof(...))に置き換える。3. ACEループガードを最小有効ACEサイズ(offsetof(smb_ace, sid) + CIFS_SID_BASE_SIZE)を要求するように締め付け、小さすぎるACEをsmb_check_perm_dacl()およびparse_dacl()の硬化に合わせて除外します。v1 -> v2: - チェンジログの合成テストモジュールスプラットを、mount.cifsとSMB2 CREATEを通じて駆動される実パスUML+KASAN 複製に置き換える;
    Namjaeはksmbdには存在しないため、v1でkcifs3_test_inherit_dacl_old名をフラグ付けしました。- Namjaeのレビューによると、コードコメントからコミットハッシュ引用を削除すること;parse_dacl()ポインタはそのままにしてください。
    (CVE-2026-31706)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-31706

high Nessus プラグイン ID 311699

バージョン 1.3