CVE-2025-71112 Linux内核HNS3驱动VLAN id验证缺失导致越界内存访问

漏洞信息

漏洞编号

CVE-2025-71112

漏洞类型

越界内存访问

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核HNS3网络驱动

漏洞概述

CVE-2025-71112是Linux内核中HNS3网络驱动的一个高危安全漏洞，CVSS评分7.1。该漏洞存在于HNS3驱动的VLAN配置处理逻辑中，当接收来自VF（Virtual Function）的VLAN配置mailbox时，系统未对VLAN id进行有效性验证。攻击者可以通过构造恶意的VLAN配置报文，传入超出合法范围的VLAN id值（大于或等于VLAN_N_VID），导致vlan_del_fail_bmap数组发生越界内存访问。由于vlan_del_fail_bmap的大小被定义为BITS_TO_LONGS(VLAN_N_VID)，当VLAN id超过这个范围时，驱动会访问数组边界之外的内存地址，可能造成信息泄露或系统崩溃。此漏洞为本地攻击，攻击者需要低权限即可利用，无需用户交互即可触发。

技术细节

漏洞根源在于Linux内核HNS3驱动中VLAN id验证机制的缺失。在处理来自VF的VLAN配置mailbox时，驱动直接使用传入的VLAN id访问vlan_del_fail_bmap位图数组，而没有首先检查该id是否在有效范围内（0到VLAN_N_VID-1）。vlan_del_fail_bmap数组的长度计算公式为BITS_TO_LONGS(VLAN_N_VID)，其中VLAN_N_VID定义了VLAN ID的最大值。当攻击者发送一个VLAN id大于或等于VLAN_N_VID的恶意配置报文时，驱动代码会尝试访问数组边界之外的内存位置，从而触发越界访问。这种越界访问可能导致两种后果：1）读取敏感内核内存信息，造成信息泄露；2）写入非法内存地址，导致系统崩溃或潜在的权限提升。由于攻击向量为本地攻击（AV:L），且只需要低权限（PR:L），攻击者可以相对容易地利用此漏洞。修复方案是在使用VLAN id之前添加边界检查，确保id值在0到VLAN_N_VID-1的合法范围内。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的低权限访问权限，能够执行本地代码

STEP 2

步骤2

攻击者识别系统是否使用HNS3网络驱动（通过lspci或dmesg检查）

STEP 3

步骤3

攻击者构造恶意的VLAN配置mailbox消息，将VLAN id设置为大于或等于VLAN_N_VID（4096）的值

STEP 4

步骤4

通过HNS3驱动接口发送恶意mailbox消息到内核，触发漏洞代码路径

STEP 5

步骤5

驱动在处理VLAN配置时未进行边界检查，直接使用恶意的VLAN id访问vlan_del_fail_bmap数组

STEP 6

步骤6

访问数组边界之外的内存地址，导致越界内存读取或写入，可能造成信息泄露或系统崩溃

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-71112 PoC - HNS3 VLAN id OOB Access
// This PoC demonstrates the vulnerability in HNS3 driver's VLAN handling

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>

// Simulated vulnerable structure
#define VLAN_N_VID 4096
#define BITS_TO_LONGS(nbits) (((nbits) + 63) / 64)

typedef struct {
    unsigned long vlan_del_fail_bmap[BITS_TO_LONGS(VLAN_N_VID)];
    int vlan_id;
} hns3_vlan_config_t;

// Vulnerable function - no validation of vlan_id
int hns3_handle_vlan_config(hns3_vlan_config_t *config, int vlan_id) {
    printf("[+] Processing VLAN config for VLAN ID: %d\n", vlan_id);
    
    // VULNERABILITY: No bounds checking on vlan_id
    // Should check: if (vlan_id >= VLAN_N_VID) return -1;
    
    // This causes OOB access when vlan_id >= VLAN_N_VID
    if (vlan_id >= 0 && vlan_id < VLAN_N_VID) {
        set_bit(config->vlan_del_fail_bmap, vlan_id);
        printf("[+] Bit set successfully at index %d\n", vlan_id);
    } else {
        // This branch should never be reached in fixed version
        printf("[-] VULNERABILITY: Out-of-bounds access at index %d!\n", vlan_id);
        printf("[-] Array size: %d, accessing index: %d\n", 
               BITS_TO_LONGS(VLAN_N_VID), vlan_id / 64);
        // OOB access occurs here
        config->vlan_del_fail_bmap[vlan_id / 64] |= (1UL << (vlan_id % 64));
        return -1; // Error or potential crash
    }
    return 0;
}

int main(int argc, char *argv[]) {
    hns3_vlan_config_t config;
    memset(&config, 0, sizeof(config));
    
    printf("=== CVE-2025-71112 PoC ===\n");
    printf("VLAN_N_VID: %d, Bitmap size: %d longs\n\n", 
           VLAN_N_VID, BITS_TO_LONGS(VLAN_N_VID));
    
    // Legitimate VLAN ID (should work)
    printf("[Test 1] Valid VLAN ID (100):\n");
    hns3_handle_vlan_config(&config, 100);
    
    // Malicious VLAN ID exceeding VLAN_N_VID
    printf("\n[Test 2] Malicious VLAN ID (5000 >= VLAN_N_VID):\n");
    hns3_handle_vlan_config(&config, 5000);
    
    printf("\n[+] PoC completed - vulnerability demonstrated\n");
    return 0;
}

影响范围

Linux kernel HNS3 driver (versions before kernel patches)

受影响的内核版本包括以下稳定版分支的早期版本：5.10.y, 5.15.y, 6.1.y, 6.6.y, 6.12.y等

防御指南

临时缓解措施

在官方补丁发布之前，可以通过以下措施临时缓解：1）如果系统不使用HNS3驱动，考虑在内核配置中禁用该驱动；2）限制普通用户对网络配置相关操作的权限；3）使用网络隔离技术减少攻击面；4）启用内核安全选项如CONFIG_HARDENED_USERCOPY；5）监控系统日志中与HNS3驱动相关的异常错误信息。