CVE-2023-53613：Linux内核dax_mapping_release释放后使用漏洞

漏洞信息

漏洞编号

CVE-2023-53613

漏洞类型

释放后使用漏洞（Use-After-Free）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（dax子系统的device-dax驱动）

漏洞概述

CVE-2023-53613是Linux内核device-dax子系统中发现的一个高危释放后使用（Use-After-Free）漏洞。该漏洞位于dax_mapping_release()函数中，当用户通过modprobe -r dax_hmem等命令移除device-dax区域提供者时，由于dax_mapping对象在释放过程中调用了ida_free()操作一个已经被释放的ida对象，导致了释放后使用问题。

该漏洞在启用CONFIG_DEBUG_KOBJECT_RELEASE配置选项进行测试时被触发，会在lockdep检查中产生警告信息。漏洞的根本原因在于设备通常仅在注册时持有对父对象的引用，但如果子对象需要父对象来完成其释放操作，子对象需要在自身的release回调函数中持有对父对象的引用。

此漏洞的CVSS评分为7.8，属于高危级别。虽然攻击需要本地权限和低权限要求，但由于其可能导致内核崩溃、权限提升等严重后果，对系统安全构成重大威胁。该漏洞影响多个Linux内核稳定版本，需要及时更新修复。

技术细节

该漏洞的技术原理涉及Linux内核的设备模型和DAX（Direct Access）文件系统子系统。具体分析如下：

1. **对象引用机制缺陷**：在Linux内核的设备模型中，设备通常只在注册时持有对父设备（dev_dax实例）的引用。当device-dax的mapping对象（dax_mapping）需要被释放时，会调用dax_mapping_release()函数。

2. **释放时序问题**：在dax_mapping_release()函数中，会调用ida_free()来释放与mapping关联的ida对象。然而，由于mapping对象没有在自身的release回调中保持对父dev_dax实例的引用，父对象可能已经被释放，导致ida_free()操作在一个已经释放的内存区域上。

3. **触发条件**：当用户执行modprobe -r dax_hmem等命令移除device-dax区域提供者时，会触发mapping对象的释放流程。如果此时父dev_dax实例已经被释放，就会发生use-after-free。

4. **崩溃路径**：调用链为device_release -> kobject_delayed_cleanup -> dax_mapping_release -> ida_free，在ida_free中尝试获取自旋锁时触发lockdep警告。

5. **修复方案**：修复方案是让dax_mapping对象持有对父dev_dax实例的引用，直到dax_mapping_release()执行完毕，确保父对象在子对象释放期间仍然有效。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要在运行受影响Linux内核版本的系统上获得本地低权限访问权限，系统需要加载device-dax相关的内核模块（如dax_hmem）

STEP 2

步骤2：模块加载

通过modprobe dax_hmem命令加载device-dax驱动，创建dax_mapping对象和对应的ida对象

STEP 3

步骤3：触发释放时序

通过modprobe -r dax_hmem命令触发模块卸载，开始释放流程

STEP 4

步骤4：利用释放后使用

在dax_mapping_release()执行过程中，由于父dev_dax对象已被释放，ida_free()操作访问已释放的内存，可能导致内核崩溃或权限提升

STEP 5

步骤5：影响系统

成功利用后可能导致系统拒绝服务（内核崩溃）或权限提升，攻击者可获得内核级别的控制权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2023-53613 - Linux Kernel dax_mapping_release Use-After-Free
# This PoC triggers the vulnerability by removing a device-dax region provider
# Requirements: Linux kernel with CONFIG_DEBUG_KOBJECT_RELEASE enabled

#!/bin/bash

# Step 1: Ensure the kernel is compiled with CONFIG_DEBUG_KOBJECT_RELEASE
# Check if the config option is enabled
grep CONFIG_DEBUG_KOBJECT_RELEASE /boot/config-$(uname -r)

# Step 2: Load the dax_hmem module
modprobe dax_hmem

# Step 3: Verify the device-dax region is created
ls /sys/bus/dax/devices/

# Step 4: Trigger the vulnerability by removing the dax_hmem module
# This will cause dax_mapping_release() to be called, which will attempt
# ida_free() on an already freed ida object, triggering the use-after-free
echo "Removing dax_hmem module to trigger CVE-2023-53613..."
modprobe -r dax_hmem

# Step 5: Check kernel log for the vulnerability indicators
# Expected output includes:
# kobject: 'mapping0': kobject_release, parent 0000000000000000 (delayed 2000)
# DEBUG_LOCKS_WARN_ON(1)
# WARNING: CPU: X PID: Y at kernel/locking/lockdep.c
# Call Trace showing ida_free -> dax_mapping_release -> device_release
dmesg | grep -A 20 "kobject_release"

echo "PoC execution completed. Check dmesg for vulnerability indicators."

影响范围

Linux Kernel < 6.1.63

Linux Kernel 6.2 < 6.2.13

Linux Kernel 6.3 < 6.3.2

Linux Kernel 6.4 < 6.4.10

Linux Kernel 6.5 < 6.5.5

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制普通用户对modprobe命令的访问权限，仅允许root用户加载和卸载内核模块；2）如果不需要device-dax功能，可以通过黑名单方式禁止加载dax_hmem等dax相关模块；3）监控系统日志，及时发现异常的kobject_release警告信息；4）使用Linux内核的lockdep功能监控系统，及时发现潜在的锁竞争和释放后使用问题；5）考虑使用SELinux或AppArmor等安全模块限制对设备文件的访问。