CVE-2026-23171 Linux — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	7,8 (HIGH)
Уязвимые версии	5.15 — 6.18.9
Устранено в версии	6.18.9
Тип уязвимости	CWE-416 (Использование памяти после освобождения)
Поставщик	Linux
Публичный эксплойт	Нет

В ядре Linux устранена следующая уязвимость: связывание: исправлено использование после освобождения из-за сбоя порабощения после обновления подчиненного массива. Исправьте использование после освобождения, которое происходит из-за сбоя порабощения после нового подчиненное устройство было добавлено в массив. Поскольку новый ведомый может использоваться для передачи немедленно, мы можем использовать его после того, как он будет освобожден из-за ошибки порабощения путь очистки, который освобождает выделенную подчиненную память.

Массив обновления подчиненного устройства должен вызываться последним, когда не ожидаются дальнейшие сбои порабощения. Переместите его после установки xdp, чтобы избежать проблем. Воспроизвести проблему очень легко простой прогой xdp_pass: ip l добавить тип Bond1 режим связи баланс-xor IP, я настрою Bond1 ip l set dev Bond1 объект xdp xdp_pass.o sec xdp_pass ip l добавить думдум типа манекен Затем запустите параллельно: пока :; do ip l set dumdum master Bond1 1>/dev/null 2>&1; сделанный; mausezahn Bond1 -a own -b rand -A rand -B 1.1.1.1 -c 0 -t tcp "dp=1-1023, flags=syn" Авария происходит почти сразу: [ 605.602850] Упс: общая ошибка защиты, вероятно, для неканонического адреса 0xe0e6fc2460000137: 0000 [#1] SMP KASAN NOPTI [ 605.602916] KASAN: возможно доступ к дикой памяти в диапазоне [0x07380123000009b8-0x07380123000009bf] [605.602946] ЦП: 0 UID: 0 PID: 2445 Связь: mausezahn Kdump: загружено Испорчено: GB 6.19.0-rc6+ #21 PREEMPT (добровольно) [ 605.602979] Испорчено: [B]=BAD_PAGE [605.602998] Имя оборудования: QEMU Standard PC (Q35 + ICH9, 2009 г.), BIOS 1.16.3-debian-1.16.3-2 01.04.2014 [605.603032] RIP: 0010:netdev_core_pick_tx+0xcd/0x210 [605.603063] Код: 48 89 fa 48 c1 ea 03 80 3c 02 00 0f 85 3e 01 00 00 48 b8 00 00 00 00 00 fc ff df 4c 8b 6b 08 49 8d 7d 30 48 89 fa 48 c1 ea 03 <80> 3c 02 00 0f 85 25 01 00 00 49 8b 45 30 4c 89 e2 48 89 ee 48 89 [ 605.603111] RSP: 0018:ffff88817b9af348 EFLAGS: 00010213 [605.603145] RAX: dffffc0000000000 RBX: ffff88817d28b420 RCX: 0000000000000000 [ 605.603172] RDX: 00e7002460000137 RSI: 0000000000000008 RDI: 07380123000009be [ 605.603199] RBP: ffff88817b541a00 R08: 0000000000000001 R09: ffffbfff3ed8c0c [ 605.603226] R10: ffffffff9f6c6067 R11: 0000000000000001 R12: 0000000000000000 [ 605.603253] R13: 073801230000098e R14: ffff88817d28b448 R15: ffff88817b541a84 [ 605.603286] FS: 00007f6570ef67c0(0000) GS:ffff888221dfa000(0000) knlGS:0000000000000000 [605.603319] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 605.603343] CR2: 00007f65712fae40 CR3: 000000011371b000 CR4: 0000000000350ef0 [605.603373] Отслеживание вызовов: [ 605.603392] <ЗАДАЧА> [ 605.603410] __dev_queue_xmit+0x448/0x32a0 [605.603434] ? __pfx_vprintk_emit+0x10/0x10 [605.603461] ? __pfx_vprintk_emit+0x10/0x10 [605.603484] ? __pfx___dev_queue_xmit+0x10/0x10 [605.603507] ? Bond_start_xmit+0xbfb/0xc20 [связывание] [605.603546] ? _printk+0xcb/0x100 [605.603566] ? __pfx__printk+0x10/0x10 [605.603589] ? Bond_start_xmit+0xbfb/0xc20 [связывание] [605.603627] ? add_taint+0x5e/0x70 [605.603648] ? add_taint+0x2a/0x70 [605.603670] ? end_report.cold+0x51/0x75 [605.603693] ? Bond_start_xmit+0xbfb/0xc20 [связывание] [ 605.603731] Bond_start_xmit+0x623/0xc20 [связывание]

Показать оригинальное описание (EN)

In the Linux kernel, the following vulnerability has been resolved: bonding: fix use-after-free due to enslave fail after slave array update Fix a use-after-free which happens due to enslave failure after the new slave has been added to the array. Since the new slave can be used for Tx immediately, we can use it after it has been freed by the enslave error cleanup path which frees the allocated slave memory. Slave update array is supposed to be called last when further enslave failures are not expected. Move it after xdp setup to avoid any problems. It is very easy to reproduce the problem with a simple xdp_pass prog: ip l add bond1 type bond mode balance-xor ip l set bond1 up ip l set dev bond1 xdp object xdp_pass.o sec xdp_pass ip l add dumdum type dummy Then run in parallel: while :; do ip l set dumdum master bond1 1>/dev/null 2>&1; done; mausezahn bond1 -a own -b rand -A rand -B 1.1.1.1 -c 0 -t tcp "dp=1-1023, flags=syn" The crash happens almost immediately: [ 605.602850] Oops: general protection fault, probably for non-canonical address 0xe0e6fc2460000137: 0000 [#1] SMP KASAN NOPTI [ 605.602916] KASAN: maybe wild-memory-access in range [0x07380123000009b8-0x07380123000009bf] [ 605.602946] CPU: 0 UID: 0 PID: 2445 Comm: mausezahn Kdump: loaded Tainted: G B 6.19.0-rc6+ #21 PREEMPT(voluntary) [ 605.602979] Tainted: [B]=BAD_PAGE [ 605.602998] Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2 04/01/2014 [ 605.603032] RIP: 0010:netdev_core_pick_tx+0xcd/0x210 [ 605.603063] Code: 48 89 fa 48 c1 ea 03 80 3c 02 00 0f 85 3e 01 00 00 48 b8 00 00 00 00 00 fc ff df 4c 8b 6b 08 49 8d 7d 30 48 89 fa 48 c1 ea 03 <80> 3c 02 00 0f 85 25 01 00 00 49 8b 45 30 4c 89 e2 48 89 ee 48 89 [ 605.603111] RSP: 0018:ffff88817b9af348 EFLAGS: 00010213 [ 605.603145] RAX: dffffc0000000000 RBX: ffff88817d28b420 RCX: 0000000000000000 [ 605.603172] RDX: 00e7002460000137 RSI: 0000000000000008 RDI: 07380123000009be [ 605.603199] RBP: ffff88817b541a00 R08: 0000000000000001 R09: fffffbfff3ed8c0c [ 605.603226] R10: ffffffff9f6c6067 R11: 0000000000000001 R12: 0000000000000000 [ 605.603253] R13: 073801230000098e R14: ffff88817d28b448 R15: ffff88817b541a84 [ 605.603286] FS: 00007f6570ef67c0(0000) GS:ffff888221dfa000(0000) knlGS:0000000000000000 [ 605.603319] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 605.603343] CR2: 00007f65712fae40 CR3: 000000011371b000 CR4: 0000000000350ef0 [ 605.603373] Call Trace: [ 605.603392] <TASK> [ 605.603410] __dev_queue_xmit+0x448/0x32a0 [ 605.603434] ? __pfx_vprintk_emit+0x10/0x10 [ 605.603461] ? __pfx_vprintk_emit+0x10/0x10 [ 605.603484] ? __pfx___dev_queue_xmit+0x10/0x10 [ 605.603507] ? bond_start_xmit+0xbfb/0xc20 [bonding] [ 605.603546] ? _printk+0xcb/0x100 [ 605.603566] ? __pfx__printk+0x10/0x10 [ 605.603589] ? bond_start_xmit+0xbfb/0xc20 [bonding] [ 605.603627] ? add_taint+0x5e/0x70 [ 605.603648] ? add_taint+0x2a/0x70 [ 605.603670] ? end_report.cold+0x51/0x75 [ 605.603693] ? bond_start_xmit+0xbfb/0xc20 [bonding] [ 605.603731] bond_start_xmit+0x623/0xc20 [bonding]

Характеристики атаки

Способ атаки

Локальный

Нужен локальный доступ

Сложность

Низкая

Легко эксплуатировать

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-416 Use After Free (Использование памяти после освобождения)

Уязвимые продукты 8

Конфигурация	От (включительно)	До (исключительно)
Linux Linux_Kernel cpe:2.3:o:linux:linux_kernel::::::::	`5.15`	`6.18.9`
Linux Linux_Kernel cpe:2.3:o:linux:linux_kernel:6.19:rc1::::::	—	—
Linux Linux_Kernel cpe:2.3:o:linux:linux_kernel:6.19:rc2::::::	—	—
Linux Linux_Kernel cpe:2.3:o:linux:linux_kernel:6.19:rc3::::::	—	—
Linux Linux_Kernel cpe:2.3:o:linux:linux_kernel:6.19:rc4::::::	—	—
Linux Linux_Kernel cpe:2.3:o:linux:linux_kernel:6.19:rc5::::::	—	—
Linux Linux_Kernel cpe:2.3:o:linux:linux_kernel:6.19:rc6::::::	—	—
Linux Linux_Kernel cpe:2.3:o:linux:linux_kernel:6.19:rc7::::::	—	—