CVE-2026-43071 CVSS 9.1 严重

CVE-2026-43071 Linux内核dcache越界读取漏洞

披露日期: 2026-05-05

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43071

漏洞类型

越界读取

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的dcache组件存在一个安全漏洞，该问题源于当用户将dhash_entries参数设置为1时，dentry_hashtable哈希表仅分配一个桶。此时计算得到的d_hash_shift为32，导致在计算哈希索引时执行右移操作出现未定义行为。这使得指针指向未分配的内存区域，随后的读取操作引发越界访问错误，进而导致系统内核崩溃（Kernel Oops）和拒绝服务。

技术细节

该漏洞发生在Linux内核的目录缓存初始化及查找过程中。当dhash_entries被配置为1时，dcache_init函数计算d_hash_shift为32。在执行d_lookup函数时，代码通过(u32)hashlen >> d_hash_shift计算桶的位置。由于右移位数等于操作数位宽（32位），根据C语言标准这属于未定义行为，实际执行时结果可能仍为hashlen。这导致内存偏移量超出分配范围，指向非法内存。当hlist_bl_first_rcu尝试读取该内存时，触发页错误。攻击者可通过控制内核启动参数触发此漏洞，导致系统不稳定或崩溃。

攻击链分析

STEP 1

步骤1：配置触发条件

攻击者修改内核启动参数，将dhash_entries设置为1。

STEP 2

步骤2：系统初始化

系统重启，内核初始化dcache，仅分配一个哈希桶，d_hash_shift被设为32。

STEP 3

步骤3：触发漏洞路径

系统执行目录查找操作（如debugfs创建目录），调用d_lookup函数。

STEP 4

步骤4：越界访问与崩溃

计算哈希索引时发生右移溢出，访问非法内存地址，触发内核Oops导致系统崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-43071
# Description: Trigger OOB read by setting kernel boot parameter.
# This requires access to kernel boot parameters (e.g., via GRUB).

# 1. Add 'dhash_entries=1' to the kernel command line in /etc/default/grub
#    Example: GRUB_CMDLINE_LINUX_DEFAULT="quiet splash dhash_entries=1"

# 2. Update grub
#    sudo update-grub

# 3. Reboot the system
#    sudo reboot

# Expected Result: Kernel panic/Oops during boot or filesystem operations due to invalid memory access in d_lookup.

影响范围

Linux Kernel (所有在提交 277cedabb0ab 之前的相关版本)

防御指南

临时缓解措施

临时缓解措施：检查并确保内核启动参数中未包含'dhash_entries=1'。建议系统管理员审查GRUB或其他引导加载程序配置，避免手动设置过小的哈希表条目数，直至应用官方补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表