CVE-2026-31488 CVSS 7.8 高危

CVE-2026-31488 Linux内核AMD显卡驱动Use-After-Free漏洞

披露日期: 2026-04-22

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31488

漏洞类型

释放后重用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的drm/amd/display组件存在一个高危漏洞。该漏洞源于DSC（显示流压缩）验证逻辑缺陷，当系统在处理包含MST/DSC配置变更及无关模式变更的原子提交时，驱动错误地重置了CRTC状态的mode_changed标志。这导致驱动未能正确管理显示流的生命周期，引发内存泄漏及释放后重用（UAF）问题。本地低权限攻击者可利用此漏洞导致系统崩溃（拒绝服务），甚至可能通过精心构造的显示操作实现内核级权限提升。

技术细节

漏洞位于amdgpu驱行的DSC预验证函数中。当驱动重新计算DSC配置且发现时序未变时，会将`mode_changed`标志置false。然而，如果同一KMS原子提交中存在与DSC无关的模式变更（如外部MST显示器插拔触发集成面板HDR配置改变），此逻辑会错误地清除该标志。结果导致`dm_update_crtc_state()`创建了新流，但`amdgpu_dm_commit_streams()`因认为模式未变而不释放旧流，造成泄漏。随后`amdgpu_dm_atomic_commit_tail()`未获取新流引用，当流被禁用时，触发`dc_stream_release`中的UAF。攻击者需本地低权限即可触发，利用KMS接口进行特定的原子操作请求，从而破坏内核内存管理。

攻击链分析

STEP 1

侦察

攻击者确认目标系统运行受影响的Linux内核版本并使用AMD GPU驱动。

STEP 2

访问

攻击者获取本地低权限用户账号。

STEP 3

执行

攻击者利用DRM/KMS接口发送特制的原子模式设置请求，触发DSC验证逻辑中的竞争条件或标志错误。

STEP 4

利用

触发释放后重用（UAF）漏洞，导致内核内存损坏或执行任意代码。

STEP 5

影响

造成系统崩溃（DoS）或提升至Root权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31488
 * Triggering the Use-After-Free in amdgpu DSC validation.
 * Compile: gcc -o poc cve-2026-31488.c -ldrm
 */
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <drm/drm.h>
#include <drm/drm_mode.h>

int main() {
    int fd = open("/dev/dri/card0", O_RDWR | O_CLOEXEC);
    if (fd < 0) {
        perror("open");
        return 1;
    }

    struct drm_mode_atomic atomic_arg = {0};
    atomic_arg.flags = DRM_MODE_ATOMIC_TEST_ONLY | DRM_MODE_ATOMIC_ALLOW_MODESET;

    // Setup properties to trigger the specific path:
    // 1. Configure a CRTC with DSC enabled.
    // 2. Simulate a scenario where DSC config is recalculated but timing is same,
    //    while another unrelated mode change is pending.
    // This requires specific hardware (AMD GPU) and topology.

    // In a real scenario, specific blob IDs and connector IDs are required.
    // This is a structural representation of the trigger.

    printf("Attempting to trigger atomic commit with conflicting mode state...\n");
    // ioctl(fd, DRM_IOCTL_MODE_ATOMIC, &atomic_arg);
    
    close(fd);
    return 0;
}

影响范围

Linux Kernel (amdgpu driver)

防御指南

临时缓解措施

建议立即升级内核以修复该逻辑错误。若无法升级，应限制系统本地用户的访问权限，并监控系统日志中是否存在KASAN报告的use-after-free错误。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表