CVE-2026-45860 in Linux
要約
〜によって VulDB • 2026年06月02日
Linuxカーネルにおいて、以下の脆弱性が修正されました。
netfilter: nf_conncount: 接続クリーンアップの上限値を64に引き上げ
1 jiffyあたりに1回のGC(ガベージコレクション)のみを実行するよう最適化した結果、新たな問題が発生しました。1 jiffyあたりに8件を超える新しい接続が追跡された場合、リストのクリーンアップが十分に速く行われず、誤って上限値に達してしまう可能性があります。
この問題を回避するため、同じjiffy内で既にGCがトリガーされており、かつ増加分がクリーンアップの上限値を下回っている場合のみGCをスキップするようにしました。さらに、GCの頻度を抑え、より効果的なGCを行うために、クリーンアップの上限値を64接続に引き上げました。
nft_connlimit/xt_connlimitまたはOVSの制限が設定された状態で、HTTPサーバーおよび複数のパフォーマンスツールを使用してテストが行われました。
slowhttptest + OVS制限(52000接続)の実行結果:
slow HTTP test status on 340th second: initializing: 0 pending: 432 connected: 51998 error: 0 closed: 0 service available: YES
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.