CVE-2025-71161: Linux kernel dm-verity递归前向纠错拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-71161

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel dm-verity

漏洞概述

CVE-2025-71161是Linux内核中dm-verity（设备映射器完整性验证）模块的一个中等严重度拒绝服务漏洞。该漏洞存在于dm-verity的前向纠错（FEC）功能中，由于递归前向纠错机制存在设计缺陷，攻击者可以通过构造特殊的磁盘镜像触发该漏洞，导致系统进程陷入不可中断的'D'状态，从而造成本地拒绝服务。dm-verity是Linux内核提供的块设备完整性验证机制，常用于Android系统启动验证和容器镜像完整性检查等场景。该漏洞的CVSS评分为5.5（中危），攻击向量为本地，攻击复杂度低，无需特殊权限即可触发。漏洞的修复方案为禁用递归前向纠错功能，以避免潜在的DoS攻击风险。

技术细节

该漏洞的根本原因在于dm-verity的FEC（前向纠错）模块中fec_read_bufs函数的递归调用设计存在两个严重缺陷。第一，DoS风险：在fec_read_bufs函数中存在一个包含253次迭代的循环，每次迭代可能递归调用verity_hash_for_block函数。由于存在4层嵌套递归限制，理论上最大可能产生253^4（约40亿）次迭代操作。Red Hat QE团队实际构造了一个能够触发此限制的特殊磁盘镜像，导致udev-worker进程陷入不可中断的'D'状态（等待I/O）。第二，功能缺陷：fec_read_bufs函数将数据存储到fio->bufs变量，但fio的bufs缓冲区在递归调用中是共享的。当verity_hash_for_block触发递归纠错时，会覆盖部分填充的fio->bufs，导致数据损坏。攻击者只需具备本地访问权限，通过加载特制的dm-verity验证磁盘镜像即可触发该漏洞，无需特殊权限或用户交互。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者获取目标系统的访问权限，确认内核版本是否启用dm-verity和FEC功能。检查系统是否使用dm-verity进行块设备完整性验证（如Android启动分区、容器镜像等）。

STEP 2

步骤2: 构造恶意磁盘镜像

攻击者创建一个特制的dm-verity磁盘镜像，该镜像包含精心构造的FEC（前向纠错）数据。镜像设计使fec_read_bufs函数在处理时触发大量递归调用（253次迭代 × 递归verity_hash_for_block调用）。

STEP 3

步骤3: 加载恶意设备

使用dmsetup等工具加载特制的dm-verity设备。内核的dm-verity模块会解析设备元数据并调用fec_read_bufs函数进行前向纠错处理。

STEP 4

步骤4: 触发递归调用

fec_read_bufs函数进入253次迭代循环，每次迭代调用verity_hash_for_block。由于递归限制为4层，累积效应导致系统资源被大量消耗，同时fio->bufs缓冲区在递归中被覆盖导致数据损坏。

STEP 5

步骤5: 造成拒绝服务

最终导致udev-worker进程（或其他相关进程）陷入不可中断的'D'状态（等待I/O），无法响应系统请求。系统可能变得无响应，需要重启才能恢复。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-71161 PoC - Linux kernel dm-verity recursive FEC DoS
// This PoC demonstrates the vulnerability by creating a specially crafted
// dm-verity image that triggers excessive recursive FEC corrections

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <linux/dm-verity.h>

// Configuration for triggering the vulnerability
#define FEC_ITERATIONS 253
#define MAX_NESTED_RECURSION 4

// Simulate the vulnerable fec_read_bufs loop
void fec_read_bufs_exploit(void) {
    printf("[*] Triggering CVE-2025-71161 dm-verity FEC vulnerability\n");
    printf("[*] FEC iterations: %d\n", FEC_ITERATIONS);
    printf("[*] Max nested recursion: %d\n", MAX_NESTED_RECURSION);
    
    // Simulate the vulnerable loop in fec_read_bufs
    for (int i = 0; i < FEC_ITERATIONS; i++) {
        printf("[*] Iteration %d/253 - calling verity_hash_for_block recursively\n", i+1);
        
        // This simulates the recursive call that can lead to:
        // 1. Potential 253^4 iterations (DoS condition)
        // 2. fio->bufs buffer overwrite in nested calls
        
        // In real exploitation, this would cause udev-worker process
        // to hang in 'D' state (uninterruptible sleep)
    }
    
    printf("[!] System may become unresponsive\n");
    printf("[!] udev-worker process stuck in D state\n");
}

int main(int argc, char *argv[]) {
    printf("===========================================\n");
    printf("CVE-2025-71161 dm-verity FEC DoS PoC\n");
    printf("Target: Linux kernel dm-verity recursive FEC\n");
    printf("CVSS: 5.5 (Medium)\n");
    printf("===========================================\n\n");
    
    fec_read_bufs_exploit();
    
    printf("\n[*] PoC execution completed\n");
    printf("[*] Note: Real exploitation requires privileged access to load\n");
    printf("[*] a crafted dm-verity device with malformed FEC data\n");
    
    return 0;
}

/* 
 * Exploitation requirements:
 * 1. Attacker needs local access to load dm-verity device
 * 2. Need to create a specially crafted disk image with:
 *    - Corrupted FEC data requiring correction
 *    - Structure that triggers deep recursion in verity_hash_for_block
 * 3. Load the image using dmsetup or similar tool
 * 
 * Defense: Apply kernel patch to disable recursive FEC correction
 */

影响范围

Linux kernel < 6.12 (with dm-verity FEC enabled)

Linux kernel 5.15.x - 6.11.x (affected)

Red Hat Enterprise Linux (with vulnerable dm-verity FEC)

Android systems using dm-verity for system partition verification

防御指南

临时缓解措施

临时缓解措施：在无法立即升级内核的情况下，可以通过以下方式降低风险：1）检查并限制用户加载dm-verity设备的权限；2）监控系统日志中与dm-verity和FEC相关的错误信息；3）如果业务场景不需要FEC功能，考虑在内核配置中禁用CONFIG_DM_VERITY_FEC；4）使用SELinux或AppArmor等强制访问控制限制相关操作；5）实施最小权限原则，确保只有授权用户才能访问系统块设备。长期来看，应尽快应用官方安全补丁升级内核到修复版本。