CVE-2026-43318 CVSS 5.5 中危

CVE-2026-43318: Linux内核amdgpu同步处理缺陷

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43318

漏洞类型

竞态条件

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的drm/amdgpu驱动存在一个同步处理漏洞。当在不同GPU之间移动DMA缓冲区时，由于ticket机制导致amdgpu_vm_handle_moved函数错误地认为可以立即更新页表。如果在GPU0上的blit任务尚未完成时就触发了缓冲区移动，会导致页错误，进而可能引发系统崩溃或拒绝服务。

技术细节

该漏洞发生在多GPU设备且不支持P2P PCI的场景下。当进程A（如glxgears）从GPU0导出线性缓冲区并由GPU1导入使用时，若GPU0正在执行blit操作，而此时触发了缓冲区移动通知，内核会尝试更新页表。由于同步逻辑缺陷，更新操作发生在blit任务完成之前，导致GPU0访问无效内存地址产生页错误。这是典型的作业调度与显存管理之间的竞态条件，影响系统可用性。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限用户访问权限。

STEP 2

步骤2

确认目标系统配置了多GPU（如2个AMD GPU）且不支持P2P。

STEP 3

步骤3

运行程序（如glxgears）从GPU0导出线性缓冲区，并由GPU1导入。

STEP 4

步骤4

在GPU0上提交渲染和blit作业，确保作业正在执行但未完成。

STEP 5

步骤5

触发缓冲区移动操作，使内核调用amdgpu_dma_buf_move_notify。

STEP 6

步骤6

利用同步缺陷，导致页表更新冲突，引发页错误导致系统崩溃（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-43318
 * This code demonstrates the logic to trigger the race condition.
 * Requires a system with 2 AMD GPUs (GPU0, GPU1) and no P2P support.
 */

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <drm/amdgpu_drm.h>

// Mock function to simulate triggering the scenario
void trigger_vulnerability() {
    // 1. Export linear buffer from GPU0
    printf("[+] Step 1: Exporting linear buffer from GPU0...\n");
    // int prime_fd = export_dmabuf(gpu0_device, bo_handle);

    // 2. Import buffer to GPU1
    printf("[+] Step 2: Importing buffer using GPU1...\n");
    // import_dmabuf(gpu1_device, prime_fd);

    // 3. Submit frame rendering and blit job to GPU0
    printf("[+] Step 3: Submitting blit job to GPU0...\n");
    // submit_blit(gpu0_device, bo_handle);
    // Note: The job is queued but we need to race the move notification.

    // 4. Trigger move notification while blit is running
    // This simulates the Xorg copy operation or explicit move
    printf("[+] Step 4: Triggering buffer move (invalidation) for GPU1...\n");
    // amdgpu_dma_buf_move_notify(prime_fd);
    // This calls amdgpu_vm_handle_moved which updates PT immediately.

    // 5. Race condition occurs -> Page Fault
    printf("[!] Step 5: If race won, GPU0 blit job page faults.\n");
}

int main() {
    // Check root privileges
    if (getuid() != 0) {
        printf("Privileges required.\n");
        return 1;
    }
    trigger_vulnerability();
    return 0;
}

影响范围

Linux Kernel < 6.6 (specific commit 3307459eb3583115264421e859858d1f90f3694a)

Linux Kernel < 6.1 (specific commit 82a7ea35a1526bef8ae170c33ff80e5db7728961)

Linux Kernel < 5.15 (specific commit 89a9389ad70d3c69538e59d87df67d407aef4c26)

Linux Kernel < 5.10 (specific commit b18fc0ab837381c1a6ef28386602cd888f2d9edf)

防御指南

临时缓解措施

在应用补丁前，建议限制多GPU环境下的显存共享操作，或隔离高风险应用的GPU访问权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表