CVE-2026-43500 Linux内核rxfrag权限提升漏洞

漏洞信息

漏洞编号

CVE-2026-43500

漏洞类型

权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核rxrpc模块存在安全漏洞。在处理DATA/RESPONSE数据包时，未能正确检测带有共享分页片段的非克隆skb，导致其进入就地解密路径。攻击者可利用此缺陷通过splice操作触发内核内存破坏，进而可能导致本地权限提升。

技术细节

漏洞位于Linux内核的rxrpc子系统。当处理DATA或RESPONSE数据包时，代码仅检查skb_cloned()来判断是否需要复制数据包。然而，通过splice()系统调用进入UDP socket的skb可能设置了SKBFL_SHARED_FRAG标志，表示包含外部拥有的页面。这种skb不是克隆状态，但包含共享片段，因此绕过了复制检查，直接进入解密路径。这导致外部页面被绑定到AEAD SGL，可能引发内存损坏。修复补丁增加了对skb_has_frag_list()和skb_has_shared_frag()的检查。

攻击链分析

STEP 1

1. 获取本地访问

攻击者获取本地低权限用户访问权限。

STEP 2

2. 准备攻击环境

创建特定的网络socket配置（利用rxrpc或相关UDP路径）。

STEP 3

3. 利用splice系统调用

使用splice()将数据从文件或管道传输到socket，生成带有SKBFL_SHARED_FRAG标志的数据包(skb)。

STEP 4

4. 触发漏洞代码

内核rxrpc处理函数接收数据包，因未克隆而跳过复制检查，直接对共享片段进行解密操作。

STEP 5

5. 内存破坏与提权

外部页面被绑定到内核SGL，导致越界读写或内存破坏，攻击者利用该混乱状态写入恶意代码或修改权限，实现提权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-43500
 * Demonstrates the splice vector triggering shared frags in rxrpc context.
 * Reference: https://github.com/V4bel/dirtyfrag
 */

#include <stdio.h>
#include <fcntl.h>
#include <unistd.h>

int main(int argc, char **argv) {
    int pipes[2];
    // Setup a pipe to generate data
    if (pipe(pipes) < 0) {
        perror("pipe");
        return -1;
    }

    // Write some data to the pipe
    const char *data = "TRIGGER_DATA";
    write(pipes[1], data, sizeof(data));

    // In a real exploit, this data would be spliced into a socket
    // configured to use rxrpc, triggering the skb_to_sgvec()
    // on a shared frag.
    printf("Splicing data to trigger CVE-2026-43500...\n");
    
    // splice(pipes[0], NULL, target_socket, NULL, 4096, 0);
    
    close(pipes[0]);
    close(pipes[1]);
    return 0;
}

影响范围

Linux Kernel < commit 3eae0f4f9f7206a4801efa5e0235c25bbd5a412c

Linux Kernel < commit aa54b1d27fe0c2b78e664a34fd0fdf7cd1960d71

防御指南

临时缓解措施

由于该漏洞需要本地访问权限且利用特定内核路径，最有效的缓解措施是及时更新内核补丁。若无法立即更新，可考虑禁用非必要的rxrpc相关网络服务或严格限制本地用户权限。