CVE-2026-31649 CVSS 9.8 严重

CVE-2026-31649: Linux内核stmmac驱动整数下溢漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31649

漏洞类型

整数下溢

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的stmmac网络驱动在处理链模式下的巨型帧时存在一个严重的整数下溢漏洞。该漏洞源于函数在计算数据长度时，错误地使用了线性数据长度而非总长度进行减法运算。当接收到线性部分较小但总长度很大的分片数据包时，减法操作会导致无符号整数回绕，产生巨大的长度值。这会导致驱动程序进入异常循环，将越界的内核内存地址映射到DMA引擎，从而引发内核内存泄露或潜在的内存损坏。

技术细节

该漏洞位于Linux内核的drivers/net/ethernet/stmicro/stmmac/stmmac_main.c文件中的jumbo_frm()函数。漏洞触发的核心条件是：数据包的线性长度（skb_headlen）小于缓冲区大小（bmax，通常为8KB或2KB），但数据包的总长度（skb->len）大于bmax。
由于jumbo_frm()函数无条件计算len = nopaged_len - bmax，当nopaged_len < bmax时，发生无符号整数下溢，len变为接近0xFFFFFFFF的值。随后的while循环会基于这个错误的len值执行，不断计算skb->data + bmax * i并传递给dma_map_single()。在没有IOMMU保护的系统上，这会将任意内核内存映射给设备，导致严重的安全后果。

攻击链分析

STEP 1

步骤1

攻击者向目标系统发送特制的网络数据包。该数据包的线性数据部分很小（例如100字节），但通过分片技术填充了大量数据，使得总长度超过驱动程序的阈值（如8KB）。

STEP 2

步骤2

目标系统的stmmac驱动接收到数据包，由于总长度（skb->len）较大，驱动判定其为巨型帧，并调用jumbo_frm()函数进行处理。

STEP 3

步骤3

jumbo_frm()函数在计算剩余长度时，使用线性长度（100字节）减去缓冲区大小（8192字节），导致无符号整数下溢，产生一个巨大的长度值。

STEP 4

步骤4

驱动程序基于错误的长度值进入长循环，将远超skb缓冲区范围的内核内存指针传递给DMA映射函数，导致内核内存信息泄露或损坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual Proof of Concept for CVE-2026-31649
 * Demonstrating the integer underflow logic.
 */
#include <stdio.h>
#include <stdint.h>

#define BUF_SIZE_8KiB 8192

void simulate_vulnerable_logic(uint32_t linear_len, uint32_t total_len) {
    printf("[+] Simulating stmmac jumbo_frm logic\n");
    printf("    Linear length (nopaged_len): %u\n", linear_len);
    printf("    Total length (skb->len): %u\n", total_len);
    printf("    Buffer size (bmax): %u\n", BUF_SIZE_8KiB);

    // The check in stmmac_xmit uses total_len
    int is_jumbo = (total_len > BUF_SIZE_8KiB);
    if (is_jumbo) {
        printf("    [!] Packet identified as Jumbo Frame. Calling jumbo_frm()...\n");

        // VULNERABLE CALCULATION in jumbo_frm()
        // It uses linear_len, not total_len
        uint32_t len = linear_len - BUF_SIZE_8KiB;

        printf("    [VULN] Calculated len = %u - %u = %u (0x%x)\n", 
               linear_len, BUF_SIZE_8KiB, len, len);

        if (len > 100000) {
            printf("    [!!!] Integer Underflow detected! Loop will run excessively.\n");
            printf("    [!!!] This would map arbitrary kernel memory to DMA.\n");
        }
    }
}

int main() {
    // Scenario: Small linear data, huge total data (via fragments)
    // This triggers the jumbo check but causes underflow in calculation
    simulate_vulnerable_logic(100, 9000);
    return 0;
}

影响范围

Linux Kernel (stable branches prior to specific commits)

防御指南

临时缓解措施

建议立即应用Linux内核官方提供的补丁进行修复。在无法立即重启更新的情况下，可以通过网络防火墙过滤异常的大包或分片包，或者确保IOMMU功能已启用以限制DMA访问的范围，从而降低漏洞被利用的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表