CVE-2022-50538 Linux内核VME子系统fake

漏洞信息

漏洞编号

CVE-2022-50538

漏洞类型

空指针解引用/错误处理缺陷

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核 VME子系统

漏洞概述

CVE-2022-50538是Linux内核VME（VersaModule Eurocard）子系统中的一个中等严重性漏洞。该漏洞位于内核驱动的fake_init()函数中，主要问题是__root_device_register()函数调用可能失败，但其返回值未被正确检查和处理。当__root_device_register()返回失败时，由于没有捕获该错误，可能导致在模块退出时无法正确注销vme_root设备，从而触发系统崩溃。

具体表现为：系统在调用__x64_sys_delete_module系统调用卸载模块时，会触发通用保护故障（general protection fault），并伴随KASAN检测到的空指针解引用（null-ptr-deref）错误，访问地址范围为[0x0000000000000460-0x0000000000000467]。崩溃发生在root_device_unregister函数中，调用链为__x64_sys_delete_module -> do_syscall_64 -> entry_SYSCALL_64_after_hwframe。

该漏洞的CVSS 3.1评分为5.5分，属于中等严重等级。攻击者需要本地低权限访问即可触发此漏洞，无需用户交互。虽然机密性影响较低，但可用性影响为高，可能导致系统拒绝服务（内核崩溃）。该漏洞已在多个Linux内核稳定版本中通过补丁修复，修复方案是在__root_device_register()失败时返回错误。

技术细节

该漏洞的根本原因在于Linux内核VME子系统驱动中fake_init()函数的错误处理逻辑缺陷。在fake_init()函数初始化过程中，调用了__root_device_register()来注册根设备，但该函数调用可能因内存不足或其他原因返回失败（返回ERR_PTR编码的错误指针或NULL）。然而，原代码忽略了这一返回值，没有进行错误检查。

当__root_device_register()失败时，vme_root变量可能未被正确初始化为有效的设备结构，但模块的退出代码（exit函数）仍然会尝试调用root_device_unregister()来注销该设备。由于设备结构未正确初始化，root_device_unregister()在访问设备结构成员时会触发空指针解引用或访问非法内存地址，导致通用保护故障（general protection fault）。

从崩溃栈可以看出，RIP指向root_device_unregister+0x26/0x60，表明问题发生在注销设备时访问设备结构体的过程中。KASAN报告的空指针解引用范围[0x0000000000000460-0x0000000000000467]进一步证实了设备结构体未被正确初始化。

利用方式：本地攻击者只需加载并卸载VME相关内核模块即可触发此漏洞。具体步骤为：1）以低权限用户身份执行modprobe或insmod加载VME模块；2）模块加载时fake_init()中的__root_device_register()调用失败；3）执行rmmod或modprobe -r卸载模块；4）模块退出时尝试注销未正确初始化的vme_root，触发内核崩溃。

修复方案是在fake_init()函数中添加对__root_device_register()返回值的检查，当注册失败时返回相应的错误码，阻止模块在初始化失败的情况下继续运行。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要拥有目标Linux系统的本地低权限用户访问权限（PR:L），无需管理员权限即可执行此攻击。

STEP 2

步骤2：触发root_device_register失败条件

通过消耗内核内存资源或其他方式使__root_device_register()调用失败，例如在内存压力较大的环境下加载VME fake模块。

STEP 3

步骤3：加载VME fake模块

执行modprobe或insmod加载vme_fake内核模块，触发fake_init()函数执行。由于__root_device_register()失败未被捕获，模块初始化逻辑继续执行但vme_root未被正确初始化。

STEP 4

步骤4：卸载VME fake模块

执行rmmod或modprobe -r命令卸载vme_fake模块，触发模块退出函数。该函数尝试调用root_device_unregister()注销vme_root设备。

STEP 5

步骤5：触发内核崩溃

由于vme_root设备结构体未被正确初始化，root_device_unregister()访问非法内存地址，触发通用保护故障（general protection fault）和KASAN空指针解引用错误，导致内核panic和系统拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2022-50538 PoC - Trigger kernel crash via VME module load/unload
 * This PoC demonstrates how to trigger the null-pointer dereference
 * in fake_init() by causing __root_device_register() to fail
 * and then unloading the module.
 */
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>

int main(int argc, char *argv[]) {
    // Step 1: Attempt to load the VME fake module
    // The fake_init() function calls __root_device_register()
    // which may fail under certain memory conditions
    printf("[*] Attempting to load vme_fake module...\n");
    int ret = system("modprobe vme_fake 2>/dev/null || insmod /lib/modules/$(uname -r)/kernel/drivers/staging/vme/vme_fake.ko 2>/dev/null");

    if (ret != 0) {
        printf("[-] Module load returned non-zero (may indicate init failure)\n");
    }

    // Step 2: Immediately unload the module
    // If __root_device_register() failed but was not checked,
    // the exit function will try to unregister an invalid device
    printf("[*] Unloading vme_fake module to trigger crash...\n");
    ret = system("rmmod vme_fake 2>/dev/null || modprobe -r vme_fake 2>/dev/null");

    printf("[*] Done. Check dmesg for kernel panic if vulnerable.\n");
    return 0;
}

/*
 * Alternative: Trigger via /sys/module manipulation or by exhausting
 * kernel memory before module load to force __root_device_register() failure.
 *
 * Kernel crash trace expected:
 * general protection fault, probably for non-canonical address
 * RIP: 0010:root_device_unregister+0x26/0x60
 * Call Trace:
 *  __x64_sys_delete_module+0x34f/0x540
 *  do_syscall_64+0x38/0x90
 *  entry_SYSCALL_64_after_hwframe+0x63/0xcd
 */

影响范围

Linux kernel < 5.15.72

Linux kernel 5.16.x < 5.16.18

Linux kernel 5.17.x < 5.17.2

Linux kernel 5.18.x及之前版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以采取以下临时缓解措施：1）在内核配置中禁用VME子系统，重新编译内核；2）通过黑名单机制禁止加载vme_fake模块（将'blacklist vme_fake'添加到/etc/modprobe.d/）；3）限制普通用户的模块加载权限，确保只有root用户可以执行modprobe/insmod/rmmod命令；4）监控系统资源使用情况，避免在内存压力较大的环境下加载内核模块；5）启用KASAN等内核安全检测工具，以便及时发现类似的内存安全问题。

CVE-2022-50538 Linux内核VME子系统fake_init()未捕获错误漏洞