CVE-2026-43371 CVSS 5.5 中危

CVE-2026-43371 Linux内核macb驱动拒绝服务漏洞

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43371

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的macb驱动程序存在一处拒绝服务漏洞，主要影响使用AMD ZynqMP芯片并配置NFS根文件系统的设备。当设备从挂起状态恢复时，由于驱动程序未能正确同步硬件发送缓冲区指针与软件指针，导致已发送的数据包被卡住且关联的内存无法释放。这一缺陷会造成网络传输长时间中断，致使NFS根文件系统恢复过程显著延长，最终导致系统无法提供正常服务。

技术细节

漏洞位于Linux内核网络驱动macb中。根据AMD Zynq UltraScale+技术参考手册，硬件在禁用发送时会自动重置队列指针，但macb驱动仅将软件层面的 `queue->tx_head` 和 `queue->tx_tail` 重置为0。这种不一致导致严重后果：首先，硬件队列中残留的数据包被静默丢弃，导致SKB结构体内存泄漏；其次，重置操作未加锁保护，可能与 `macb_tx_poll` 或 `macb_start_xmit` 产生竞态条件，破坏数据一致性；最关键的是，驱动误判队列为空（head==tail），导致传输逻辑卡在一个已标记为“已使用”但未被软件清理的数据包上，系统必须等待新数据包到达该位置才能打破僵局。修复方案是重新排列发送环形缓冲区，确保第一个未发送包位于起始位置，并使用锁保护指针更新。

攻击链分析

STEP 1

步骤1：获取访问权限

攻击者需要具备本地低权限用户访问权限（AV:L/PR:L）。

STEP 2

步骤2：环境确认

目标系统运行受影响的Linux内核版本，使用AMD ZynqMP硬件，并配置了NFS根文件系统。

STEP 3

步骤3：触发挂起/恢复

攻击者诱导系统进入挂起状态，或等待系统自动挂起，随后触发系统恢复操作。

STEP 4

步骤4：利用漏洞

在恢复过程中，macb驱动程序的逻辑错误导致发送队列卡顿，无法处理NFS流量。

STEP 5

步骤5：达成拒绝服务

NFS根文件系统长时间无响应，导致系统崩溃或无法正常使用，达成拒绝服务攻击目的。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-43371
 * Simulates the logic error where tx_head and tx_tail are reset
 * without shuffling the ring, leading to a stuck queue.
 */
#include <stdio.h>

#define TX_RING_SIZE 16

struct macb_queue {
    int tx_head;
    int tx_tail;
    int tx_buffer[TX_RING_SIZE]; // Simulating buffer descriptors
};

void simulate_vulnerability(struct macb_queue *queue) {
    // Simulate state before suspend: head=10, tail=5
    queue->tx_head = 10;
    queue->tx_tail = 5;
    printf("Before suspend: tx_head=%d, tx_tail=%d\n", queue->tx_head, queue->tx_tail);

    // System suspends... (Hardware resets pointer to base)
    
    // Resume: Vulnerable driver logic simply resets head/tail to 0
    // without moving the pending packets to the front of the ring.
    queue->tx_head = 0;
    queue->tx_tail = 0;
    printf("After vulnerable resume: tx_head=%d, tx_tail=%d\n", queue->tx_head, queue->tx_tail);

    // The driver thinks the queue is empty (head == tail),
    // but the hardware might be stuck waiting for the descriptor at index 5.
    printf("Result: Driver assumes queue is empty, transmission stuck.\n");
}

int main() {
    struct macb_queue q;
    simulate_vulnerability(&q);
    return 0;
}

影响范围

Linux Kernel (修复提交0a47c3889fcd之前版本)

防御指南

临时缓解措施

临时缓解措施包括：在受影响设备上避免使用NFS根文件系统配置，或者通过系统配置禁用挂起/恢复功能，直至内核更新完成。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表