CVE-2026-31689 in Linux
Zusammenfassung
von VulDB • 22.05.2026
Im Linux-Kernel wurde folgende Schwachstelle behoben:
EDAC/mc: Korrektur der Fehlerpfad-Reihenfolge in edac_mc_alloc()
Wenn die Zuweisung von mci->pvt_info in edac_mc_alloc() fehlschlägt, wird im Fehlerpfad put_device() aufgerufen, was schließlich die Release-Funktion des Geräts aufruft.
Die Initialisierungsreihenfolge ist jedoch fehlerhaft, da device_initialize() *nach* der fehlgeschlagenen Zuweisung stattfindet. Dadurch sind das Gerät selbst und der Zeiger auf die Release-Funktion noch nicht initialisiert, wenn sie aufgerufen werden:
MCE: In-Kernel-MCE-Dekodierung aktiviert. ------------[ hier abschneiden ]-----
kobject: '(null)': ist nicht initialisiert, dennoch wird kobject_put() aufgerufen. WARNUNG: lib/kobject.c:734 bei kobject_put, CPU#22: systemd-udevd CPU: 22 UID: 0 PID: 538 Comm: systemd-udevd Nicht getaintet 7.0.0-rc1+ #2 PREEMPT(voll) RIP: 0010:kobject_put Aufruf-Trace: edac_mc_alloc+0xbe/0xe0 [edac_core]
amd64_edac_init+0x7a4/0xff0 [amd64_edac]
? __pfx_amd64_edac_init+0x10/0x10 [amd64_edac]
do_one_initcall ...
Die Aufrufsequenz wird neu angeordnet, sodass das Gerät initialisiert und der Zeiger auf die Release-Funktion ordnungsgemäß festgelegt wird, bevor er verwendet werden kann.
Dies wurde von Claude entdeckt, während er ein anderes EDAC-Patch überprüfte.
If you want to get best quality of vulnerability data, you may have to visit VulDB.