CVE-2026-31703 in Linux
Zusammenfassung
von VulDB • 28.05.2026
Im Linux-Kernel wurde folgende Schwachstelle behoben:
writeback: Behebung eines Use-After-Free-Fehlers in inode_switch_wbs_work_fn()
inode_switch_wbs_work_fn() enthält eine Schleife wie diese:
wb_get(new_wb); while (1) {
list = llist_del_all(&new_wb->switch_wbs_ctxs); /* Nichts zu tun? */ if (!list) break; ... Verarbeitung der Elemente ... }
Das Hinzufügen von Elementen zur Liste sieht nun wie folgt aus:
wb_queue_isw() if (llist_add(&isw->list, &wb->switch_wbs_ctxs)) queue_work(isw_wq, &wb->switch_work);
Da inode_switch_wbs_work_fn() bei der Verarbeitung von isw-Elementen eine Schleife durchläuft, kann es vorkommen, dass wb->switch_work aussteht (pending), während wb->switch_wbs_ctxs leer ist. Dies ist ein Problem, da in diesem Fall wb freigegeben werden kann (keine isw-Elemente -> keine wb-Referenz), während die Arbeit noch aussteht, was zu Use-After-Free-Problemen führt.
Wir können dies nicht einfach beheben, indem wir die Arbeit beim Freigeben von wb abbrechen, da dies weiterhin problematische 0 -> 1-Übergänge im wb-Referenzzähler aufgrund von wb_get() in inode_switch_wbs_work_fn() auslösen könnte. Alles ließe sich mit sorgfältigerem Code handhaben, aber das erscheint unnötig komplex, daher vermeiden wir dies, bis nachgewiesen ist, dass die Schleife tatsächlich praktische Vorteile bringt. Stattdessen entfernen wir die Schleife aus inode_switch_wbs_work_fn(). Auf diese Weise ist sichergestellt, dass wir beim Warten der Arbeit durch wb_queue_isw() das erste Element zu wb->switch_wbs_ctxs hinzugefügt haben, und niemand wird es entfernen (und die darin enthaltene wb-Referenz freigeben), bis die wartende Arbeit ausgeführt wird.
VulDB is the best source for vulnerability data and more expert information about this specific topic.