CVE-2025-71147: Linux内核KEYS trusted模块tpm2_load

漏洞信息

漏洞编号

CVE-2025-71147

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核(KEYS trusted模块)

漏洞概述

CVE-2025-71147是Linux内核中的一个内存泄漏安全漏洞，位于KEYS trusted模块的tpm2_load_cmd函数中。该漏洞由安全研究人员发现并于2026年1月23日披露。漏洞源于tpm2_load_cmd函数通过tpm2_key_decode间接分配临时blob内存，但在多个失败路径中未正确释放已分配的内存资源。攻击者可通过本地低权限账户触发该漏洞，持续利用可导致系统内存资源耗尽，影响系统可用性。CVSS 3.1评分为5.5分，属于中等严重程度。该漏洞需要攻击者具备本地访问权限，且无需用户交互即可触发。修复方案采用cleanup helper机制包装blob对象，确保函数退出时自动释放内存资源。

技术细节

漏洞位于Linux内核的security/keys/trusted-keys子系统中的tpm2_load_cmd函数。该函数负责从TPM(可信平台模块)加载密钥数据。在执行过程中，函数调用tpm2_key_decode解码密钥数据时，会分配临时的blob内存缓冲区。问题在于当函数执行过程中遇到错误条件(如解码失败、参数验证失败等)而进入失败路径时，已分配的blob内存未被正确释放，导致内存泄漏。攻击者可通过构造特定的密钥数据或触发异常条件，使函数进入失败路径，从而造成内存泄漏。长期利用此漏洞可导致系统内存逐渐耗尽，引发服务拒绝(Denial of Service)风险。修复措施使用Linux内核的__free(kfree)cleanup机制，将blob指针包装到cleanup属性中，确保函数无论正常返回还是异常退出都能自动调用kfree释放内存。

攻击链分析

STEP 1

1

攻击者获得Linux系统的本地低权限访问权限

STEP 2

2

攻击者通过trusted keys接口构造恶意密钥数据触发tpm2_load_cmd函数

STEP 3

3

函数调用tpm2_key_decode分配临时blob内存

STEP 4

4

触发错误条件(如无效参数、格式错误等)使函数进入失败路径

STEP 5

5

失败路径中未释放blob内存，导致内存泄漏

STEP 6

6

重复触发漏洞导致系统内存逐渐耗尽，最终引发服务拒绝

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC concept for CVE-2025-71147
// This is a conceptual PoC demonstrating the memory leak condition
// Note: Actual exploitation requires kernel-level access and TPM interaction

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

// Simulated tpm2_key_decode function
void* tpm2_key_decode(void *key_data, size_t len) {
    void *blob = malloc(1024);  // Simulate blob allocation
    if (!blob) return NULL;
    printf("[+] Allocated blob at %p\n", blob);
    return blob;
}

// Vulnerable function - memory leak in error paths
int tpm2_load_cmd_vulnerable(void *key_data, size_t len) {
    void *blob = tpm2_key_decode(key_data, len);
    if (!blob) {
        printf("[-] Decode failed\n");
        return -1;  // Blob not allocated, safe
    }
    
    // Simulate various error conditions
    if (len < 100) {
        printf("[-] Invalid length, returning without free!\n");
        return -1;  // MEMORY LEAK: blob not freed
    }
    
    if (((char*)key_data)[0] == 0xFF) {
        printf("[-] Invalid key format, returning without free!\n");
        return -1;  // MEMORY LEAK: blob not freed
    }
    
    // Normal path - blob would be used and freed
    printf("[+] Processing blob normally\n");
    free(blob);
    return 0;
}

// Fixed version using cleanup mechanism
void free_blob(void **blob) {
    if (*blob) {
        printf("[+] Freeing blob at %p\n", *blob);
        free(*blob);
        *blob = NULL;
    }
}

int tpm2_load_cmd_fixed(void *key_data, size_t len) {
    void *blob __attribute__((__cleanup__(free_blob))) = tpm2_key_decode(key_data, len);
    if (!blob) {
        printf("[-] Decode failed\n");
        return -1;
    }
    
    if (len < 100 || ((char*)key_data)[0] == 0xFF) {
        printf("[+] Error path - cleanup handler will free blob\n");
        return -1;  // Blob automatically freed by cleanup
    }
    
    printf("[+] Processing blob normally\n");
    return 0;  // Blob automatically freed by cleanup
}

int main() {
    printf("=== CVE-2025-71147 Memory Leak PoC ===\n\n");
    
    char invalid_key[] = "INVALID_KEY_DATA";
    
    printf("[Test 1] Vulnerable function with short input:\n");
    tpm2_load_cmd_vulnerable(invalid_key, 10);
    
    printf("\n[Test 2] Fixed function with short input:\n");
    tpm2_load_cmd_fixed(invalid_key, 10);
    
    return 0;
}

影响范围

Linux内核 < 5.15.x (具体版本需参考kernel.org补丁)

Linux内核 < 5.10.x (具体版本需参考kernel.org补丁)

Linux内核 < 5.4.x (具体版本需参考kernel.org补丁)

Linux内核 < 4.19.x (具体版本需参考kernel.org补丁)

受影响的稳定版本: 19166de9737218b77122c41a5730ac87025e089f

受影响的稳定版本: 3fd7df4636d8fd5e3592371967a5941204368936

受影响的稳定版本: 62cd5d480b9762ce70d720a81fa5b373052ae05f

受影响的稳定版本: 9b015f2918b95bdde2ca9cefa10ef02b138aae1e

受影响的稳定版本: 9e7c63c69f57b1db1a8a1542359a6167ff8fcef1

防御指南

临时缓解措施

在官方内核补丁发布之前，可通过以下措施缓解风险：1) 限制普通用户对/dev/tpm*和trusted keys相关系统调用的访问权限；2) 使用SELinux或AppArmor配置强制访问控制策略，限制可疑进程的权限；3) 监控系统日志和内存使用情况，及时发现异常；4) 考虑在容器环境中隔离使用TPM功能的进程；5) 如果业务不需要trusted keys功能，可考虑在内核配置中禁用CONFIG_TRUSTED_KEYS选项。

CVE-2025-71147: Linux内核KEYS trusted模块tpm2_load_cmd内存泄漏漏洞