Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - net：ipv6：修复 seg6 和 rpl lwtunnels 中的 NOREF dst 使用 seg6_input_core） 和 rpl_input（） 调用 ip6_route_input（），后者在 skb 上设置 NOREF dst，然后将其无条件传递给调用 dst_hold（） 的 dst_cache_set_ip6（）。在 PREEMPT_RT 上，ksoftirqd 处于可抢占状态，且更高优先级的任务可通过共享 nexthop 上的并行 FIB 查找，释放查找和缓存之间的底层pcpu_rt。简化的争用序列：ksoftirqd/X 更高优先级的任务（相同 CPU X）-----------
    -------------------------------- seg6_input_core（，skb）/rpl_input（skb） dst_cache_get（） -> 缺少 ip6_route_input（skb） -> ip6_pol_route（，skb，flags） [RT6_LOOKUP_F_DST_NOREF in flags] -> FIB 查找解决了 fib6_nh [nhid=N route] -> rt6_make_pcpu_route（） [创建 pcpu_rt，refcount=1] pcpu_rt->sernum = fib6_sernum [fib6_sernum=W] -> cmpxchg（fib6_nh.rt6i_pcpu， NULL， pcpu_rt） [插槽为空，存储成功]
    -> skb_dst_set_noref（skb， dst） [dst 为 pcpu_rt，refcount 仍然是 1] rt_genid_bump_ipv6（） -> fib6_sernum 升级 [fib6_sernum从 W 到 Z] ip6_route_output（） -> ip6_pol_route（） -> FIB 查找解决了 fib6_nh [nhid=N] -> rt6_get_pcpu_route（） pcpu_rt->sernum ！= fib6_sernum [W <> Z，过时] -> prev = xchg（rt6i_pcpu， NULL） -> dst_release（prev） [prev is pcpu_rt， refcount 1->0， dead] dst = skb_dst（skb） [dst 为死pcpu_rt] dst_cache_set_ip6（dst） -> dst_hold（） on dead dst -> WARN / use-after-free 要使争用发生，ksoftirqd 必须可抢占（PREEMPT_RT而无PREEMPT_RT_NEEDS_BH_LOCK），并且并发任务必须能够释放pcpu_rt。共享 nexthop 对象提供这样的路径，因为指向同一 nhid 的两个路由共享相同的fib6_nh及其rt6i_pcpu条目。修复 seg6_input_core（） 和 rpl_input（），方法是在 ip6_route_input（） 之后调用 skb_dst_force（），在缓存前将 NOREF dst 强制转换为 refcounted dst。输出路径不受影响，因为 ip6_route_output（） 已返回 refcounted dst。（CVE-2026-46099）

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-46099

high Nessus 插件 ID 317156

版本 1.3