CVE-2026-23386: Linux内核gve驱动内存越界访问漏洞

漏洞信息

漏洞编号

CVE-2026-23386

漏洞类型

内存越界访问

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的Google Virtual Ethernet (gve)驱动程序在DQ-QPL模式下存在一处缓冲区清理错误漏洞。在`gve_tx_clean_pending_packets`函数中，代码错误地使用了RDA缓冲区清理路径，而非QPL专用路径。这导致了两个严重问题：首先，由于`dma`数组与`tx_qpl_buf_ids`共享存储空间，错误地将缓冲区ID解释为DMA地址会导致尝试解除映射错误的内存位置；其次，QPL模式下的`num_bufs`（计数2K块）可能显著超过`dma`数组的固定大小，从而引发数组越界访问。该漏洞可能被本地低权限攻击者利用，导致内核崩溃或拒绝服务。

技术细节

该漏洞位于Linux内核源码的`drivers/net/ethernet/google/gve/gve_tx_dqo.c`文件中。其根本原因是在处理DQ-QPL（Descriptor Queue - Queue Page List）模式下的挂起数据包清理时，未能正确区分数据模式。在QPL模式下，`dma`数组和`tx_qpl_buf_ids`通过union共享内存，且`num_bufs`表示的是2K块的数量，其数值往往远大于`dma`数组的预定义长度（例如18）。当`gve_tx_clean_pending_packets`函数执行时，它遍历了`num_bufs`次并尝试访问`dma`数组，导致`array-index-out-of-bounds`错误。此外，将int类型的buffer ID强制转换为`dma_addr_t`进行DMA unmap操作，会导致内存管理混乱。该错误通常在网卡接口关闭（`gve_close`）或重置（`gve_reset`）的服务任务中被触发。

攻击链分析

STEP 1

步骤1

攻击者获得本地系统的低权限访问权限（PR:L）。

STEP 2

步骤2

系统配置或默认使用Google Virtual Ethernet (gve)驱动程序，并运行在DQ-QPL模式下。

STEP 3

步骤3

攻击者触发特定的网络活动或系统状态（如接口重置、关闭），导致调用`gve_tx_clean_pending_packets`函数。

STEP 4

步骤4

由于漏洞逻辑，内核执行错误的清理循环，访问越界内存地址，触发UBSAN警告或内核异常。

STEP 5

步骤5

导致系统不稳定、内核崩溃或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-23386
 * This code demonstrates the logic flaw leading to Out-of-Bounds access.
 * Compile with: gcc -o poc_cve202623386 poc_cve202623386.c
 */
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>

#define DMA_ARRAY_SIZE 18
#define QPL_BUF_COUNT 64  // Simulating a larger num_bufs in QPL mode

typedef union {
    uint64_t dma_addr;
    uint32_t buf_id;
} buffer_storage_t;

void vulnerable_cleanup(buffer_storage_t *buffers, int num_bufs, int is_qpl_mode) {
    printf("[+] Starting cleanup process...\n");
    
    // Vulnerability: The code does not properly check for QPL mode
    // and uses the RDA path logic (iterating num_bufs directly on dma array)
    if (1) { // Simulating the flawed condition
        for (int i = 0; i < num_bufs; i++) {
            // This simulates the out-of-bounds access
            if (i >= DMA_ARRAY_SIZE) {
                printf("[!] UBSAN: array-index-out-of-bounds in vulnerable_cleanup\n");
                printf("    index %d is out of range for type 'dma_addr_t[%d]'\n", i, DMA_ARRAY_SIZE);
                // In kernel, this leads to panic or corruption
                break; 
            }
            printf("[?] Unmapping buffer at index %d (addr: 0x%llx)\n", i, (unsigned long long)buffers[i].dma_addr);
        }
    } else {
        printf("[*] Using safe QPL cleanup path.\n");
    }
}

int main() {
    buffer_storage_t buffers[DMA_ARRAY_SIZE];
    
    // Initialize dummy data
    for (int i = 0; i < DMA_ARRAY_SIZE; i++) {
        buffers[i].dma_addr = 0xdeadbeef0000 + i;
    }

    printf("Simulating CVE-2026-23386 Trigger\n");
    printf("Context: DQ-QPL mode active.\n");
    printf("num_bufs (QPL chunks): %d\n", QPL_BUF_COUNT);
    printf("dma_array_size: %d\n\n", DMA_ARRAY_SIZE);

    // Trigger the vulnerable function
    vulnerable_cleanup(buffers, QPL_BUF_COUNT, 1);

    return 0;
}

影响范围

Linux Kernel (stable branches prior to commit 07e0c80e17ef)

Linux Kernel (stable branches prior to commit 3744ebd8ffaa)

Linux Kernel (stable branches prior to commit 71511dae56a7)

Linux Kernel (stable branches prior to commit c171f90f5897)

Linux Kernel (stable branches prior to commit fb868db5f4bc)

防御指南

临时缓解措施

由于该漏洞需要本地访问权限且主要影响可用性，最有效的缓解措施是限制本地用户权限。此外，管理员应监控内核日志中关于`gve`驱动的UBSAN警告或`array-index-out-of-bounds`错误。如果无法立即升级内核，建议暂时禁用gve驱动的DQ-QPL模式（如果配置允许），或回退到受影响的驱动模块版本。请及时关注Linux发行版的安全公告并安装更新。