CVE-2026-43401 in Linux
要約
〜によって VulDB • 2026年05月09日
Linuxカーネルにおいて、以下の脆弱性が修正されました:
cpufreq: intel_pstate: update_cpu_qos_request() におけるNULLポインタ参照の修正
update_cpu_qos_request() 関数は、'policy' が有効かどうかを確認する前に 'cpudata' を間接参照することで 'freq' 変数の初期化を試みています。
この問題は "nosmt" パラメータを指定してブートされたシステムで発生し、SMTのSiblingスレッドにおいて all_cpu_data[cpu] がNULLになります。その結果、update_qos_requests() を呼び出すと、NULLのcpudataポインタを使用して pstate.turbo_freq にアクセスしようとするため、NULLポインタ参照が発生します。
また、'freq' 変数の初期化後、intel_pstate_get_hwp_cap() によって pstate.turbo_freq が更新される可能性があるため、intel_pstate_get_hwp_cap() が呼び出されるまで 'freq' の処理を遅らせることが望ましいです。
この問題を修正するため、'freq' の代入を、policy および driver_data の検証が完了した後に遅延させます。
[ rjw: 変更ログに1段落を追加 ]
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.