CVE-2026-43174 CVSS 5.5 中危

CVE-2026-43174 Linux内核io_uring/zcrx资源管理漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43174

漏洞类型

资源管理错误

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的io_uring/zcrx模块在处理关闭队列操作时存在安全漏洞。该问题发生在“开启后错误处理”阶段，原代码在关闭队列时试图直接释放zcrx上下文，但这并不保证所有关联的页池已经终止。这种不正确的资源释放逻辑可能导致引用计数错误，进而引发内核崩溃或其他不可预测的行为。该漏洞允许本地低权限攻击者利用此缺陷破坏系统可用性，CVSS v3.1评分为5.5，属于中危级别。

技术细节

漏洞位于Linux内核的io_uring子系统，特别是zero-copy receive (zcrx)功能中。在正常流程中，当队列被关闭时，系统应确保所有依赖该队列的资源（如page pools）都已完全清理。然而，受影响的代码路径在错误处理阶段直接释放了zcrx上下文（ctx），而忽略了可能存在的引用计数。这导致了竞态条件：如果页池仍在使用该上下文，而上下文已被释放，后续访问将导致内核内存错误。修复方案是将直接释放改为依赖内核标准的引用计数机制，让系统在引用归零时自动释放资源。攻击者可通过特定的io_uring系统调用序列触发该错误路径，从而造成本地拒绝服务。

攻击链分析

STEP 1

本地访问

攻击者获得本地低权限用户账户访问权限。

STEP 2

准备环境

攻击者编写恶意程序，调用io_uring接口准备操作zcrx（零拷贝接收）队列。

STEP 3

触发漏洞

程序执行特定的系统调用序列，故意触发开启后的错误状态，进入有缺陷的错误处理代码路径。

STEP 4

资源释放

内核错误地直接释放zcrx上下文，而此时关联的页池可能仍在运行，导致引用计数失衡。

STEP 5

系统崩溃

内核后续访问已释放的内存资源，导致系统崩溃、死机或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <liburing.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

/*
 * Conceptual Proof of Concept for CVE-2026-43174
 * This code attempts to trigger the zcrx post-open error handling path.
 * Note: Actual exploitation requires a vulnerable kernel version.
 */

int main() {
    struct io_uring ring;
    int ret;

    // Initialize io_uring instance
    ret = io_uring_queue_init(32, &ring, 0);
    if (ret < 0) {
        perror("io_uring_queue_init");
        return 1;
    }

    printf("io_uring initialized. Attempting to trigger zcrx error path...\n");

    // In a real scenario, specific io_uring registration ops (IORING_REGISTER_ZCRX)
    // would be called here to setup the queue and subsequently trigger
    // the error condition that leads to the faulty context release.
    // This requires hardware support or emulation for zcrx.

    // Cleanup
    io_uring_queue_exit(&ring);
    return 0;
}

影响范围

Linux Kernel (修复前版本)

Linux Kernel (提交 18afaff077b46655a8eb6fd7f6de1b81327be577 之前)

Linux Kernel (提交 5d540e4508950c674d6feef1d95463d039bbf4f5 之前)

防御指南

临时缓解措施

建议禁用io_uring功能或通过内核参数限制本地用户对相关子系统的访问，直到应用安全补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表