CVE-2026-31566 CVSS 7.8 高危

CVE-2026-31566 Linux内核amdgpu驱动UAF漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31566

漏洞类型

释放后重用 (UAF)

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的drm/amdgpu驱动中存在释放后重用（UAF）漏洞。在amdgpu_amdkfd_submit_ib函数中，代码在调用dma_fence_wait等待GPU作业完成之前，错误地调用了dma_fence_put释放了fence对象的引用。如果该引用是最后一个，fence对象将被立即释放，导致后续的wait操作访问已释放的内存，从而引发内核崩溃或潜在的权限提升。

技术细节

该漏洞位于drivers/gpu/drm/amd/amdgpu/amdgpu_amdkfd.c的amdgpu_amdkfd_submit_ib函数中。该函数负责提交Indirect Buffer (IB)并获取用于同步的fence。原始代码逻辑存在顺序错误：先执行dma_fence_put(f)减少引用计数，若计数归零则释放内存；紧接着调用dma_fence_wait(f)访问该fence。这种时序错误导致了典型的UAF漏洞。本地低权限攻击者可通过触发该驱动路径利用此漏洞，导致拒绝服务（DoS）或在特定条件下实现内核代码执行。

攻击链分析

STEP 1

1. 获取访问权限

攻击者获取本地系统的低权限用户访问权限。

STEP 2

2. 触发驱动路径

攻击者通过AMDKFD接口与GPU驱动交互，提交特定的GPU作业。

STEP 3

3. 执行漏洞代码

内核执行amdgpu_amdkfd_submit_ib函数，进入错误的代码逻辑。

STEP 4

4. 释放对象引用

dma_fence_put被调用，导致fence对象被提前释放。

STEP 5

5. 触发UAF

dma_fence_wait尝试访问已释放的fence内存，造成释放后重用。

STEP 6

6. 系统崩溃或提权

导致内核崩溃或利用堆喷射等技术实现权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC illustrating the vulnerable logic flow.
 * This requires a local environment with the vulnerable kernel and AMD GPU.
 */

#include <stdio.h>
#include <stdlib.h>

// Simulated kernel structures for demonstration
struct dma_fence {
    int refcount;
};

void dma_fence_put(struct dma_fence *f) {
    f->refcount--;
    if (f->refcount == 0) {
        free(f); // Memory is freed here in the vulnerable scenario
        printf("[DEBUG] Fence memory freed.\n");
    }
}

void dma_fence_wait(struct dma_fence *f) {
    // In the real vulnerability, this accesses the freed memory
    printf("[DEBUG] Waiting on fence... Use-After-Free occurs here!\n");
}

void vulnerable_submit_ib() {
    struct dma_fence *f = (struct dma_fence *)malloc(sizeof(struct dma_fence));
    f->refcount = 1;

    printf("[DEBUG] Submitting IB and getting fence...\n");

    // Vulnerability sequence: Put before Wait
    dma_fence_put(f); 
    
    // f is potentially freed here. Accessing it is UAF.
    dma_fence_wait(f); 
}

int main() {
    printf("Simulating CVE-2026-31566 Vulnerability Logic...\n");
    vulnerable_submit_ib();
    return 0;
}

影响范围

Linux Kernel (Fixed by commit 138e42be35ff2ce6572ae744de851ea286cf3c69)

Linux Kernel (Fixed by commit 39820864eacd886f1a6f817414fb8f9ea3e9a2b4)

Linux Kernel (Fixed by commit 42d248726a0837640452b71c5a202ca3d35239ec)

Linux Kernel (Fixed by commit 7150850146ebfa4ca998f653f264b8df6f7f85be)

Linux Kernel (Fixed by commit bc7760c107dc08ef3e231d72c492e67b0a86848b)

防御指南

临时缓解措施

限制非特权用户对/dev/kfd等AMD GPU设备节点的访问权限，或在无法立即更新内核时临时禁用amdgpu或amdkfd模块以降低风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表