CVE-2026-43338 CVSS 5.5 中危

CVE-2026-43338 Linux内核Btrfs拒绝服务漏洞

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43338

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核Btrfs文件系统在处理qgroup ioctls时存在逻辑漏洞。由于未为配额树更新及生成的延迟引用预留足够的事务空间，在执行大量qgroup创建等特定操作时，可能因磁盘空间不足（-ENOSPC）导致事务中止，从而引发系统拒绝服务。

技术细节

该漏洞位于Linux内核的Btrfs文件系统驱动中，涉及配额组(qgroup)的ioctl处理逻辑。正常情况下，元数据更新需要预留事务空间，但qgroup操作仅进行了事务连接，未预留空间。尽管配额根使用全局块保留区，但在高负载下并不足以应对大量更新。当攻击者创建大量qgroup（例如400,000个）时，会生成海量的延迟引用。由于没有预先预留空间，系统在尝试提交事务时会耗尽元数据空间（-ENOSPC），导致事务中止，从而滥用全局保留区。这会使文件系统进入只读模式或崩溃，造成拒绝服务。攻击者需具备本地低权限即可利用此漏洞。

攻击链分析

STEP 1

Step 1: Environment Setup

Attacker prepares a local environment with a Btrfs filesystem mounted.

STEP 2

Step 2: Trigger Quota Operations

The attacker enables quota on the filesystem and executes a script to create a massive number of qgroups (e.g., 400,000).

STEP 3

Step 3: Resource Exhaustion

The qgroup creation operations generate a large number of delayed references without reserving necessary transaction space.

STEP 4

Step 4: Transaction Abort

The kernel attempts to run delayed refs but fails due to -ENOSPC (No space left on device), causing a transaction abort.

STEP 5

Step 5: Denial of Service

The filesystem becomes unstable, potentially entering read-only mode or unmounting, resulting in a denial of service.

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash

DEV=/dev/nullb0
MNT=/mnt/nullb0

umount $DEV &> /dev/null
# Limit device to 1G so that it's much faster to reproduce the issue.
mkfs.btrfs -f -b 1G $DEV
mount -o commit=600 $MNT

fallocate -l 800M $MNT/filler
btrfs quota enable $MNT

for ((i = 1; i <= 400000; i++)); do
    btrfs qgroup create 1/$i $MNT
done

umount $MNT

影响范围

Linux Kernel (Versions prior to commit 386f5e16a383101a68e195c806b4eedb233cd1d3)

防御指南

临时缓解措施

建议尽快升级Linux内核以修复此漏洞。若无法立即升级，应避免在接近存储容量的Btrfs文件系统上执行大规模的qgroup创建操作，并监控系统日志中的事务中止错误。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表