IPBUF安全漏洞报告
English
CVE-2026-43229 CVSS 5.5 中危

CVE-2026-43229 Linux内核wave5驱动清理顺序错误致崩溃

披露日期: 2026-05-06
来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号
CVE-2026-43229
漏洞类型
竞态条件
CVSS评分
5.5 中危
攻击向量
本地 (AV:L)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Linux Kernel (chips-media: wave5)

相关标签

CVE-2026-43229Linux KernelKernel PanicRace ConditionDoSDriver VulnerabilityChips Media

漏洞概述

Linux内核中的chips-media wave5驱动程序存在逻辑缺陷。在设备移除过程中,由于清理顺序不当,先断电后注销设备,导致工作线程在硬件掉电后仍尝试访问寄存器,引发同步外部中止和内核崩溃。该漏洞需本地低权限触发,影响系统可用性。

技术细节

该漏洞位于Linux内核的media: chips-media: wave5驱动中。在轮询模式下,hrtimer周期性触发wave5_vpu_timer_callback,进而调度kthread worker执行wave5_vpu_irq_work_fn,该函数会调用wave5_vdi_read_register读取硬件寄存器。漏洞原因是remove函数先禁用了PM runtime并断电,然后才注销视频设备。如果此时autosuspend触发或驱动正在移除,worker线程仍可能被调度去访问已掉电的硬件寄存器,导致总线错误和内核崩溃。修复方案是将视频设备注销操作移至remove函数的最开始,确保在断电前停止所有视频操作。

攻击链分析

STEP 1
触发条件
本地低权限用户加载wave5驱动并进行视频编码操作,使驱动处于轮询模式。
STEP 2
执行移除
用户触发驱动卸载操作,或系统电源管理触发自动挂起。
STEP 3
资源竞争
驱动程序执行remove函数,先禁用PM runtime并断电,但尚未注销视频设备。
STEP 4
非法访问
hrtimer触发工作线程,尝试读取已断电的硬件寄存器。
STEP 5
系统崩溃
发生同步外部中止,导致Kernel Panic,系统拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
/* * Conceptual PoC for CVE-2026-43229 * Triggering the race condition requires specific hardware and kernel state. * This snippet illustrates the vulnerable code flow. */ // Vulnerable sequence (Original Code) void vulnerable_remove(struct platform_device *pdev) { struct vpu_device *vdev = platform_get_drvdata(pdev); // 1. Disable PM runtime and power down hardware pm_runtime_disable(&pdev->dev); // Hardware is OFF now, but video device is still registered // 2. If hrtimer fires here, worker tries to access powered-off HW -> Panic // 3. Unregister video device (Too late) video_unregister_device(vdev->vfd); } // Fixed sequence (Patch) void fixed_remove(struct platform_device *pdev) { struct vpu_device *vdev = platform_get_drvdata(pdev); // 1. Unregister video device first video_unregister_device(vdev->vfd); // Video operations are stopped, timers/workers are halted // 2. Safe to disable PM and power down pm_runtime_disable(&pdev->dev); }

影响范围

Linux Kernel (Chips Media Wave5 Driver) < 526816f2e331954d80fed8b37fa94efbbdde2b8d

防御指南

临时缓解措施
临时缓解措施包括避免在系统负载较高或进行视频处理时卸载该驱动模块。如果可能,可通过内核参数暂时禁用该驱动的自动电源管理功能,以减少触发崩溃的概率,但建议尽快应用补丁。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表