CVE-2026-31662 CVSS 7.5 高危

CVE-2026-31662 Linux Kernel TIPC组播下溢漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31662

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核TIPC协议栈存在拒绝服务漏洞。在处理GRP_ACK_MSG消息时，tipc_group_proto_rcv函数未校验重复确认，导致bc_ackers计数器下溢。这使得拥塞控制逻辑误判，导致Socket组播通信永久阻塞。

技术细节

该漏洞源于Linux内核TIPC协议的`tipc_group_proto_rcv`函数。该函数使用`u16`类型的`bc_ackers`变量追踪未确认广播的成员数量。正常逻辑下，收到ACK应递减该值。然而，代码未过滤重复或过期的ACK消息。攻击者可发送重复的GRP_ACK_MSG，导致`bc_ackers`从0下溢至65535。随后`tipc_group_bc_cong`函数将持续报告拥塞，导致受影响Socket的后续广播操作被阻塞，直到重建通信组。此漏洞无需认证即可通过网络触发。

攻击链分析

STEP 1

侦察

攻击者识别目标系统运行了启用了TIPC协议且存在漏洞的Linux内核版本。

STEP 2

漏洞利用

攻击者向目标TIPC组播组成员发送恶意的重复GRP_ACK_MSG数据包。

STEP 3

状态改变

目标系统处理重复ACK时，bc_ackers计数器发生整数下溢，变为65535。

STEP 4

拒绝服务

tipc_group_bc_cong函数持续报告拥塞，导致正常的组播通信被永久阻塞。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

# This is a conceptual PoC for CVE-2026-31662.
# It requires the target to have TIPC configured and accessible.
# The goal is to send a duplicate GRP_ACK_MSG to trigger the underflow.

def send_tipc_duplicate_ack(target_ip):
    try:
        # Create a raw socket (requires root privileges)
        # Note: Crafting a valid TIPC packet requires knowledge of the specific TIPC header structure
        # and the target's TIPC address/port. This is a simplified template.
        
        # TIPC Generic Header (conceptual)
        # User Data message type: GRP_ACK_MSG
        # Constructing the specific payload to mimic a duplicate ACK
        
        print(f"[*] Sending duplicate GRP_ACK_MSG to {target_ip}...")
        
        # In a real exploit, one would construct the exact byte sequence representing
        # a TIPC Group Membership Protocol message with type GRP_ACK_MSG.
        # This usually involves setting the TIPC version and message type correctly.
        
        # sock = socket.socket(socket.AF_TIPC, socket.SOCK_RDM)
        # sock.sendto(payload, (target_address, 0))
        
        print("[+] Packet sent. Check if broadcast is blocked.")
        
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Replace with actual target TIPC address
    send_tipc_duplicate_ack("1.1.1.1")

影响范围

Linux Kernel < 5.10.217

Linux Kernel < 5.15.159

Linux Kernel < 6.1.90

Linux Kernel < 6.6.30

Linux Kernel < 6.9.5

防御指南

临时缓解措施

在不方便升级内核的情况下，可以通过禁用内核中的TIPC模块（tipc）来缓解此风险，或使用防火墙规则限制不可信网络对TIPC端口的访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表