4 篇博文 含有标签「Kernel Security」

摘要​

2026年5月27日，Linux 内核 CIFS 子系统中一处本地权限提升漏洞被公开披露（CVE-2026-29453，CVSSv3 7.8）。漏洞根源在于内核未对 cifs.spnego 类型密钥的描述信息实施来源合法性校验——未实现 vet_description 钩子以验证密钥是否由内核 CIFS 模块生成。同时，cifs.upcall 用户空间辅助程序以 root 权限运行时无条件信任密钥描述中的 pid、uid、creduid 及 upcall_target 等攻击者可控字段。本地低权限用户可构造伪造的密钥描述发起 request_key 系统调用，触发 root 权限的 cifs.upcall 执行，通过命名空间切换与 NSS 模块加载实现 root 权限代码执行。本分析从漏洞原理、利用条件、影响范围与修复方案四个维度展开讨论。

关键词：Linux 内核；CIFS；SPNEGO；权限提升；request_key；CVE-2026-29453

摘要​

OSC 8（Operating System Command 8）超链接转义序列允许终端模拟器在纯文本输出中嵌入可点击的超链接。这一设计显著增强了终端交互的可用性，但也引入了一个被广泛忽视的攻击面：攻击者可通过注入恶意的 OSC 8 序列，将终端从被动的信息显示设备转变为半主动的交互界面，使用户的单一点击行为即可触发本地资源访问或远程请求。本文对 OSC 8 协议的底层语法、跨平台注入向量、file:// URI 的行为差异以及现有安全防御机制进行了系统性分析，并在纵深防御体系框架下评估了此类非代码执行攻击面的真实威胁等级。

关键词：OSC 8；终端安全；转义序列注入；攻击面建模；纵深防御

近期，Linux 内核子系统中发现一处高危竞态条件漏洞，影响 6.x 系列内核多个版本。攻击者可利用 io_uring 与文件系统操作之间的 TOCTOU 竞态，实现本地提权。

漏洞概述​

该漏洞编号为 CVE-2026-31431（CVSS 8.8），存在于 fs/io_uring.c 中 io_closeat 与 openat 的并发执行路径。当两个线程分别对同一文件描述符执行关闭和重命名操作时，内核未正确持锁保护 inode 引用计数，可导致 use-after-free 条件。

技术细节​

// 简化触发路径
Thread A: io_closeat(fd)    →  iput(inode)  →  inode 引用计数归零
Thread B: renameat2(...)    →  inode 重绑定  →  访问已释放的 inode

竞态窗口约 3-5ms，在多核环境下可稳定复现。研究团队通过自定义 Fuzzer 在 72 小时内检测到该漏洞。

影响范围​

• Linux Kernel 6.1 - 6.12（已确认）
• Android Common Kernel 6.1
• 部分发行版回溯版本

修复状态​

上游补丁已提交至 stable@vger.kernel.org，通过在 io_closeat 路径中增加 inode_lock 实现互斥保护。

eBPF 技术在近年来从内核可观测性工具迅速演变为安全防御与攻击的双刃剑。ICE 实验室近期完成了对 eBPF 子系统安全边界的系统性研究，以下为核心发现。

eBPF 攻击面演进​

传统攻击向量​

新型攻击向量（2026）​

1. Speculative eBPF Execution

   • 利用 CPU 推测执行特性，在 Verifier 检查通过后绕过运行时检查
   • 影响范围：Intel/AMD 10nm 以下制程处理器

2. eBPF-to-XDP 转发链污染

   • 在 XDP 程序链中注入恶意 Drop/Pass 决策
   • 可导致特定流量模式下的服务拒绝

3. BPF Timer 侧信道

   • 利用 bpf_timer 的高精度计时能力提取内核地址空间布局
   • 可辅助 KASLR 绕过

实验数据​

在对 50+ 个主流 eBPF 安全工具（Falco、Tetragon、Tracee 等）的审计中，我们发现：

• 32% 的工具未限制 CAP_BPF 权限范围
• 18% 的工具存在 Map 访问控制缺陷
• 12% 的工具可被滥用于隐蔽的内核数据提取

防御建议​

1. 严格限制 CAP_BPF 和 CAP_PERFMON 的授予范围
2. 启用 BPF 链签名验证（bpf_link_create 路径）
3. 部署 eBPF 程序白名单机制
4. 定期审计 eBPF Map 的跨进程共享权限