CVE-2026-31705 ksmbd越界写入漏洞

漏洞信息

漏洞编号

CVE-2026-31705

漏洞类型

越界写入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (ksmbd)

漏洞概述

Linux内核中的ksmbd模块（SMB服务器）存在一个严重的越界写入漏洞（CVE-2026-31705）。该漏洞源于`smb2_get_ea()`函数在处理扩展属性（EA）时的逻辑缺陷。在复合请求场景下，当EA数据大小恰好填满剩余的响应缓冲区时，函数仍会继续执行4字节对齐的memset操作，导致向缓冲区边界之外的内核堆内存写入1-3字节的NULL数据。攻击者无需认证即可通过网络利用此漏洞，可能导致内核崩溃或潜在的远程代码执行。

技术细节

漏洞位于`fs/smb/server/smb2pdu.c`的`smb2_get_ea()`函数中。该函数在复制EA值后会调用`memset`进行4字节对齐填充。问题在于，代码在执行`memcpy`前检查了`buf_free_len`，但在执行`memset`前未再次检查剩余空间。

在SMB复合请求中，多个命令共享同一个响应缓冲区。攻击者可以构造特定的复合请求（如READ + QUERY_INFO），使第一个命令消耗大部分缓冲区空间，导致留给QUERY_INFO的剩余空间极小。如果精心构造EA数据的大小，使其在复制后`buf_free_len`恰好为0，随后的对齐填充代码（`memset`）将无视边界，向缓冲区末尾之外的相邻内核堆内存写入数据。这种堆越界写入可能破坏堆元数据或关键内核对象，从而导致拒绝服务（DoS）或在特定条件下实现任意代码执行。

攻击链分析

STEP 1

侦察

攻击者扫描目标网络，寻找开放445端口（SMB）并运行Linux内核ksmbd服务的主机。

STEP 2

建立连接

攻击者与目标SMB服务器建立连接，无需认证即可访问共享资源或利用默认配置。

STEP 3

发送恶意复合请求

攻击者发送特制的SMB复合请求（如READ + QUERY_INFO）。第一个命令旨在消耗共享响应缓冲区的大部分空间，第二个命令包含精确计算大小的扩展属性（EA），使其填满剩余缓冲区。

STEP 4

触发越界写入

服务器处理QUERY_INFO请求时，在EA值填满缓冲区后，执行4字节对齐的memset操作，向缓冲区外的内核堆内存写入1-3字节数据。

STEP 5

实现利用

越界写入破坏内核内存结构，导致系统崩溃（DoS）或根据具体的堆布局实现内核级代码执行（RCE/提权）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-31705
 * This script demonstrates how to trigger the OOB write by sending
 * a compound SMB request designed to exhaust the buffer space.
 * Requires impacket library.
 */

from impacket.smbconnection import SMBConnection
from impacket.smb3structs import *
import sys

def trigger_oob(target, port=445):
    """Attempts to trigger the ksmbd OOB write vulnerability."""
    
    # 1. Establish connection
    try:
        conn = SMBConnection(remoteName=target, remoteHost=target, sessPort=port)
        conn.login('', '')
    except Exception as e:
        print(f"[!] Connection failed: {e}")
        return

    print(f"[*] Connected to {target}")

    # 2. Setup Tree Connect
    tid = conn.connectTree('IPC$')
    
    # 3. Construct Compound Request
    # We need a READ command to consume buffer space, followed by QUERY_INFO
    # with a specific EA size to trigger buf_free_len == 0 condition.
    
    # Note: Actual offset calculation requires knowing the server's buffer size,
    # which is often 65535 or similar. This is a conceptual representation.
    
    # Packet 1: Large READ to consume buffer
    # Packet 2: QUERY_INFO with crafted EA
    
    # In a real exploit, you would manually craft the SMB2 packets bytes
    # to align the buffer precisely.
    
    print("[*] Sending malicious compound request...")
    # conn.sendCompound(...) - Pseudo-code for the actual packet crafting
    
    # 4. If successful, the server should crash due to Kernel OOB
    print("[*] Check server for crash/PoC verification.")
    
    conn.disconnect()

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip>")
    else:
        trigger_oob(sys.argv[1])

影响范围

Linux Kernel (ksmbd) < 6.6 (before patch 30010c952077)

Linux Kernel (ksmbd) < 6.1 (before patch 790304c02bf9)

Linux Kernel (ksmbd) < 5.15 (before patch 922d48fe8c19)

Linux Kernel (ksmbd) < 5.10 (before patch 98f3de6ef4ef)

防御指南

临时缓解措施

在无法立即升级内核的情况下，最有效的临时缓解措施是禁用ksmbd模块。可以通过在系统启动配置中屏蔽该模块（如使用modprobe.d/blacklist.conf）或停止相关系统服务来移除攻击面。此外，严格限制对SMB服务的网络访问，仅允许受信任的内网IP连接，可降低被远程攻击的风险。