CVE-2026-31526Linux内核中的BPF子系统存在一个安全漏洞,该漏洞源于在处理子程序的异常退出时,锁检查机制的逻辑错误。具体而言,当通过bpf_throw()从静态子程序抛出异常时,process_bpf_exit_full()函数会跳过对RCU锁、抢占锁和中断ID的验证。由于bpf_throw()在运行时通过ORC展开堆栈而不释放用户获取的锁,这可能导致死锁或其他系统不稳定问题。该漏洞允许本地低权限攻击者利用此缺陷造成拒绝服务攻击,影响系统的可用性。
该漏洞位于Linux内核的BPF验证器中,涉及异常处理时的资源清理逻辑。在BPF程序执行过程中,如果发生异常,系统会调用bpf_throw()进行堆栈展开。原本的代码逻辑中,process_bpf_exit_full()函数在调用check_resource_leak()时,传入的check_lock参数取决于当前帧(curframe)。当异常来自静态子程序时,该参数被设为false,导致验证器跳过了对active_rcu_locks、active_preempt_locks和active_irq_id的检查。实际上,异常退出时会绕过所有中间帧的清理操作,因此无论当前帧如何,都应强制检查锁的状态。如果不进行检查,当bpf_throw()通过ORC(Oops Recovery Capability)机制展开堆栈时,那些在子程序中获取但未释放的锁将保留在锁定状态。这种资源泄漏可能导致内核死锁、数据损坏或系统崩溃,从而被利用于本地拒绝服务攻击。值得注意的是,自旋锁不受此漏洞影响,因为它们在do_check_insn()的调用点已经被检查。