CVE-2026-46263 in Linuxالمعلومات

الملخص

بحسب VulDB • 03/06/2026

في نواة لينكس، تم حل الثغرة التالية:

drm/amd/display: إصلاح فهرس مشفر التدفق خارج النطاق (v3)

يمكن أن تكون قيمة eng_id سالبة، مما قد يؤدي إلى فهرسة مصفوفة stream_enc_regs[] خارج النطاق.

تُستخدم eng_id مباشرةً كفهرس داخل مصفوفة stream_enc_regs[]، التي تحتوي على 5 عناصر فقط. عندما تكون eng_id تساوي 5 (ENGINE_ID_DIGF) أو سالبة، يمكن أن يؤدي ذلك إلى الوصول إلى الذاكرة بعد نهاية المصفوفة.

تمت إضافة فحص للنطاق باستخدام ARRAY_SIZE() قبل استخدام eng_id كفهرس. كما أن التحويل إلى نوع غير موقع (unsigned) يرفض القيم السالبة.

يؤدي هذا إلى تجنب الوصول خارج النطاق.

يصلح خطأ smatch أدناه: dcn*_resource.c: قد يقوم stream_encoder_create() بفهرسة stream_enc_regs[eng_id] خارج النطاق (الحجم 5).

drivers/gpu/drm/amd/amdgpu/../display/dc/resource/dcn351/dcn351_resource.c 1246 static struct stream_encoder *dcn35_stream_encoder_create( 1247 enum engine_id eng_id, 1248 struct dc_context *ctx) 1249 {

...

1255 1256 /* Mapping of VPG, AFMT, DME register blocks to DIO block instance */ 1257 if (eng_id <= ENGINE_ID_DIGF) {

ENGINE_ID_DIGF تساوي 5. هل يجب أن تكون <= بدلاً من <?

غير ذي صلة ولكن، آه، لماذا يشير Smatch إلى أن "eng_id" يمكن أن تكون سالبة؟ نوع end_id هو signed long، ولكن هناك فحوصات في الدالة المستدعية تمنعها من أن تكون سالبة.

1258 vpg_inst = eng_id; 1259 afmt_inst = eng_id; 1260 } else 1261 return NULL; 1262

...

1281 1282 dcn35_dio_stream_encoder_construct(enc1, ctx, ctx->dc_bios, 1283 eng_id, vpg, afmt, --> 1284 &stream_enc_regs[eng_id],
^^^^^^^^^^^^^^^^^^^^^^^ مصفوفة stream_enc_regs[] هذه تحتوي على 5 عناصر، لذا نحن هنا بعد عنصر واحد من نهاية المصفوفة.

...

1287 return &enc1->base; 1288 }

الإصدار 2: استخدام فحص صريح للنطاق كما اقترح رومان/دان؛ تجنب التحويل إلى unsigned int

الإصدار 3: يعرف المترجم بالفعل كيفية مقارنة القيمتين، لذا فإن التحويل (int) غير ضروري. (رومان)

Be aware that VulDB is the high quality source for vulnerability data.

المصادر