CVE-2026-43054

Published: Mag 01, 2026 Last Modified: Mag 01, 2026

ExploitDB:

Other exploit source:

Google Dorks:

Description

AI Translation Available

In the Linux kernel, the following vulnerability has been resolved:

scsi: target: tcm_loop: Drain commands in target_reset handler

tcm_loop_target_reset() violates the SCSI EH contract: it returns SUCCESS
without draining any in-flight commands. The SCSI EH documentation
(scsi_eh.rst) requires that when a reset handler returns SUCCESS the driver
has made lower layers 'forget about timed out scmds' and is ready for new
commands. Every other SCSI LLD (virtio_scsi, mpt3sas, ipr, scsi_debug,
mpi3mr) enforces this by draining or completing outstanding commands before
returning SUCCESS.

Because tcm_loop_target_reset() doesn't drain, the SCSI EH reuses in-flight
scsi_cmnd structures for recovery commands (e.g. TUR) while the target core
still has async completion work queued for the old se_cmd. The memset in
queuecommand zeroes se_lun and lun_ref_active, causing
transport_lun_remove_cmd() to skip its percpu_ref_put(). The leaked LUN
reference prevents transport_clear_lun_ref() from completing, hanging
configfs LUN unlink forever in D-state:

INFO: task rm:264 blocked for more than 122 seconds.
rm D 0 264 258 0x00004000
Call Trace:
__schedule+0x3d0/0x8e0
schedule+0x36/0xf0
transport_clear_lun_ref+0x78/0x90 [target_core_mod]
core_tpg_remove_lun+0x28/0xb0 [target_core_mod]
target_fabric_port_unlink+0x50/0x60 [target_core_mod]
configfs_unlink+0x156/0x1f0 [configfs]
vfs_unlink+0x109/0x290
do_unlinkat+0x1d5/0x2d0

Fix this by making tcm_loop_target_reset() actually drain commands:

1. Issue TMR_LUN_RESET via tcm_loop_issue_tmr() to drain all commands that
the target core knows about (those not yet CMD_T_COMPLETE).

2. Use blk_mq_tagset_busy_iter() to iterate all started requests and
flush_work() on each se_cmd — this drains any deferred completion work
for commands that already had CMD_T_COMPLETE set before the TMR (which
the TMR skips via __target_check_io_state()). This is the same pattern
used by mpi3mr, scsi_debug, and libsas to drain outstanding commands
during reset.

AI Generated Translation

Nel kernel Linux, è stata risolta la seguente vulnerabilità:

scsi: target: tcm_loop: Drainare i comandi nel gestore target_reset

tcm_loop_target_reset() viola il contratto SCSI EH: restituisce SUCCESS senza aver drainato i comandi in-flight. La documentazione SCSI EH (scsi_eh.rst) richiede che, quando un gestore di reset restituisce SUCCESS, il driver abbia fatto in modo che gli strati inferiori "dimentichino i scmds scaduti" e siano pronti per nuovi comandi. Tutti gli altri LLD SCSI (virtio_scsi, mpt3sas, ipr, scsi_debug, mpi3mr) applicano questa regola drainando o completando i comandi pendenti prima di restituire SUCCESS.

Poiché tcm_loop_target_reset() non drainava, le strutture in-flight di scsi_cmnd venivano riutilizzate per i comandi di recovery (ad esempio TUR) mentre il target core aveva ancora in coda il lavoro di completamento asincrono per l'ancien se_cmd. La memset in queuecommand azzera se_lun e lun_ref_active, facendo sì che transport_lun_remove_cmd() salti la chiamata a percpu_ref_put(). La perdita di riferimento sul LUN impedisce a transport_clear_lun_ref() di completare, causando il blocco permanente del unlink del LUN in configfs in stato D:

INFO: task rm:264 bloccato per più di 122 secondi.
rm D 0 264 258 0x00004000
Call Trace:
__schedule+0x3d0/0x8e0
schedule+0x36/0xf0
transport_clear_lun_ref+0x78/0x90 [target_core_mod]
core_tpg_remove_lun+0x28/0xb0 [target_core_mod]
target_fabric_port_unlink+0x50/0x60 [target_core_mod]
configfs_unlink+0x156/0x1f0 [configfs]
vfs_unlink+0x109/0x290
do_unlinkat+0x1d5/0x2d0

Per risolvere, si è reso necessario fare in modo che tcm_loop_target_reset() drainasse effettivamente i comandi:

1. Inviare TMR_LUN_RESET tramite tcm_loop_issue_tmr() per drainare tutti i comandi di cui il target core è a conoscenza (quelli non ancora CMD_T_COMPLETE).

2. Utilizzare blk_mq_tagset_busy_iter() per iterare su tutte le richieste avviate e chiamare flush_work() su ciascun se_cmd — questo draina eventuali lavori di completamento differiti per i comandi che avevano già impostato CMD_T_COMPLETE prima del TMR (che il TMR salta tramite __target_check_io_state()). Questo pattern è lo stesso usato da mpi3mr, scsi_debug e libsas per drainare i comandi pendenti durante il reset.