Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - net:skbuff:frag-transfer ヘルパーを通じて共有フラグマーカーを伝播します 2 つのフラグ転送ヘルパー(__pskb_copy_fclone() および skb_shift())は、フラグをソースから宛先に移動するときに、skb_shinfo()->フラグの SKBFL_SHARED_FRAG ビットの伝播に失敗します。__pskb_copy_fclone() は、フラグ記述子のコピー後に残りの shinfo メタデータを skb_copy_header() に委ねますが、そのヘルパーは gso_{size,segs, type} のみを引き継ぎ、skb_shinfo()->flags には触れません。skb_shift() はフラグ記述子を直接移動し、フラグは手つかずのままにします。その結果、宛先skbは、skb_has_shared_frag()をfalseとして報告しながら、同じ外部所有のページまたはページキャッシュバックのページへの参照を維持します。この不一致は、skb_has_shared_frag() を使用して共有ページを skb_cow_data() 経由で迂回する必要があるかどうかを判断するインプレース ライターでは有害です。ESP 入力はそのようなライター(esp4.c、esp6.c)の 1 つであり、単一の nft「dup to <local>」ルール(またはその他の nf_dup_ipv4()/xt_TEE 呼び出し元)だけで、マーカーが取り除かれた esp_input() に pskb_copy() の skb が適切に配置され、権限のないユーザーが authencesn-ESN の不自由書き込みを介して root 所有の読み取り専用ファイルのページキャッシュに書き込みを行うことが可能です。frag 記述子がソースから実際に移動された場合は常に宛先でSKBFL_SHARED_FRAGを設定します。skb_copy() と skb_copy_expand() も skb_copy_header() を共有しますが、すべてのページングされたデータを新しく割り当てられたヘッドストレージに線形化し、 nr_frags == 0 で出現するため、skb_has_shared_frag() はそれ自体で false を返します。彼らは変化を必要としません。同じ省略が skb_gro_receive() と skb_gro_receive_list() に存在します。前者は、2 つのパス (直接の frag-move ループと head_frag + memcpy パス) を介して、着信 skb の frag 記述子をアキュムレータの最後の sub-skb に移動します。後者は、着信 skb 全体を P のfrag_listに連鎖させます。ダウンストリームの skb_segment() は skb_shinfo(p)->flags のみを読み取り、skb_segment_list() は各 sub-skb の shinfo を nskb として再利用します。p と lp の両方にマーカーが付加する必要があります。同じ省略が tcp_clone_payload() にも存在します。これは、フラグ記述子を sk_write_queue の skbs から新しく割り当てられた nskb へ移動することで、MTU プローブ skb を構築します。ヘルパーは同じファミリーに属し、一貫性のために同じ修正が必要です。TCP TX サイドのインプレース書き込み機は、このギャップを通ってユーザーページに到達することが現在知られていませんが、マーカーに依存する将来のコンシューマーは、静かに回帰するでしょう。同じ省略が skb_segment() に存在します:反復ごとのフラグマージは head_skb のフラグのみを取り、head_skbフラグの枯渇時にfrag_skbをlist_skbに再バインドする内部スイッチは、新しいfrag_skbのフラグを nskb に折りたたまれません。両方の場所でfrag_skbの旗を折りたたんで、frag_listメンバーからフラグを引き出すセグメントがマーカーを運ぶようにします。(CVE-2026-43503)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-43503

high Nessus プラグイン ID 316600

バージョン 1.6