CVE-2026-31481 CVSS 5.5 中危

CVE-2026-31481 Linux内核追踪模块空指针引用漏洞

披露日期: 2026-04-22

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31481

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的tracing子系统在处理启动时的触发器注册时存在安全漏洞。如果在清理线程创建之前发生触发器注册失败，延迟释放的节点会堆积在列表中。当后续释放操作回退到同步释放时，旧的队列条目被永久泄漏，并可能触发空指针解引用，导致系统内核崩溃。本地低权限攻击者可通过特定的内核命令行参数触发该漏洞。

技术细节

该漏洞源于Linux内核tracing模块中的延迟释放机制。在系统启动初期，如果触发器注册失败（例如通过命令行参数传入重复触发器），系统会将释放操作推迟到`trigger_data_free_list`，等待后续的清理kthread处理。然而，如果该kthread创建失败，代码逻辑中未包含同步排空延迟列表的机制。这导致失败节点堆积，造成内存泄漏。更严重的是，后续对堆积对象的释放操作会访问空指针，导致内核崩溃（Kernel Panic），从而实现拒绝服务攻击。

攻击链分析

STEP 1

步骤1：修改启动配置

攻击者需具备修改内核启动参数的能力（如物理接触、Root权限或配置管理权限），将特定的trace_trigger参数添加到启动命令中。

STEP 2

步骤2：系统启动与模块加载

系统重启并加载Linux内核，tracing子系统开始初始化，解析启动参数中的trace_event和trace_trigger。

STEP 3

步骤3：触发注册失败与延迟释放

由于参数中包含重复的traceon触发器，第二次注册失败。此时清理线程尚未创建，释放操作被推迟到trigger_data_free_list。

STEP 4

步骤4：内存泄漏与空指针解引用

若清理线程创建失败或未及时处理，延迟列表中的节点未被释放。后续的内存操作触发空指针解引用，导致内核崩溃。

STEP 5

步骤5：系统拒绝服务

内核崩溃导致系统停止响应或重启，达成拒绝服务攻击目的。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Add the following to the kernel command line (e.g., in GRUB configuration)
trace_event=sched_switch trace_trigger=sched_switch.traceon,sched_switch.traceon

# Reboot the system to trigger the crash during boot.

影响范围

Linux Kernel (版本早于包含提交 250ab25391edeeab8462b68be42e4904506c409c 的版本)

Linux Kernel (版本早于包含提交 771624b7884a83bb9f922ae64ee41a5f8b7576c9 的版本)

防御指南

临时缓解措施

避免在内核启动参数中添加重复或无效的`trace_trigger`配置，特别是涉及`sched_switch`等关键事件的触发器，以防止在启动阶段触发注册失败路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表