Virtio-win: virtio-win: virtio blk デバイスのリセットにおける use-after-free によるメモリ破損

Red Hat Enterprise Linux 10 の virtio-win 内の VirtIO Block (BLK) デバイスにおいて、use-after-free の脆弱性 (CVE-2026-5165) が発見されました。この脆弱性は、デバイスのリセット処理中にメモリ管理が失敗することで発生し、ローカルのアタッカーがシステムメモリを破損する可能性があります。メモリの破損は、システム不安定、予期しない動作、さらには任意のコード実行につながる可能性があります。CVSS スコアは 6.7 で、中程度のリスクを示しています。このリスクを軽減するため、提供されているアップデートを適用することが重要です。

Systems running virtualization software (like KVM, Xen, or QEMU) that utilize Virtio-win are at risk. Specifically, environments with older Virtio-win versions (1.0.0–2.5.3) and limited access controls are more vulnerable. Users relying on legacy Virtio-win configurations or those with shared hosting environments where they have limited control over the underlying virtualization layer should prioritize patching.

• linux / server:

journalctl -f | grep -i virtio_win

• linux / server:

ps aux | grep virtio_win

• linux / server:

lsmod | grep virtio_win

1. 2026-03-30Disclosure

   disclosure

1. 予約済み2026-03-30
2. 公開日2026-03-30
3. 更新日2026-04-28
4. EPSS 更新日2026-04-07

Red Hat は virtio-win バージョン 2.5.4 のアップデートをリリースし、この脆弱性を修正しました。Red Hat Enterprise Linux 10 のすべてのユーザーは、できるだけ早くこのアップデートを適用することを強く推奨します。このアップデートは、脆弱なコンポーネントを、デバイスのリセット中にメモリを安全に処理する修正されたバージョンに置き換えます。アップデートを適用するには、dnf パッケージマネージャーを使用して、コマンド sudo dnf update virtio-win を実行します。アップデート後、変更が完全に適用されるようにシステムを再起動します。アップデート後には、システムログを監視して、異常な動作がないか確認してください。