CVE-2025-22126漏洞分析与复现教学文档<\/h1>

1. 漏洞概述<\/h2>
CVE-2025-22126是一个位于Linux内核md驱动(md.c)中的UAF(Use-After-Free)漏洞，影响内核版本待确认。该漏洞存在于`md_notify_reboot<\/code>函数中，由于不正确地使用list_for_each_entry_safe<\/code>宏导致条件竞争，可能被利用进行权限提升或系统崩溃。<\/p>`

2. 漏洞位置<\/h2>
漏洞位于内核源码的drivers\/md\/md.c<\/code>文件，具体位置在9676行的md_notify_reboot<\/code>函数。<\/p>
3. 漏洞原理分析<\/h2>
3.1 关键代码问题<\/h3>
md_notify_reboot<\/code>函数在对每个mddev(多磁盘设备)进行操作时使用了list_for_each_entry_safe<\/code>宏遍历链表：<\/p>
list_for_each_entry_safe(mddev, n, &<\/span>all_mddevs, all_mddevs) {
<\/span><\/span>    mddev_get(mddev);  \/\/ 获取mddev引用
<\/span><\/span><\/span><\/span>    \/\/ 解锁all_mddevs_lock
<\/span><\/span><\/span><\/span>    \/\/ ...其他操作...
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>3.2 问题根源<\/h3>


锁机制问题<\/strong>：<\/p>

在持有all_mddevs_lock<\/code>锁时，其他异步函数不能访问all_mddevs<\/code>链表<\/li>
但在mddev_get<\/code>之后会解锁，允许其他操作访问链表<\/li>
<\/ul>
<\/li>

宏使用不当<\/strong>：<\/p>

list_for_each_entry_safe<\/code>宏会预先保存next指针到变量n中<\/li>
这意味着mddev1和mddev2(下一个元素)都被"引用"了<\/li>
但只对当前mddev1进行了get<\/code>操作，没有保护mddev2<\/li>
<\/ul>
<\/li>

竞争窗口<\/strong>：<\/p>

在解锁后到访问下一个元素前的时间窗口内<\/li>
mddev2可以被异步释放(没有get保护)<\/li>
后续访问已释放的mddev2导致UAF<\/li>
<\/ul>
<\/li>
<\/ol>
3.3 图解漏洞时间线<\/h3>
时间线:
1. 获取all_mddevs_lock
2. list_for_each_entry_safe保存mddev1和mddev2(n)
3. mddev_get(mddev1)
4. 解锁all_mddevs_lock
   [竞争窗口开始]
5. 其他线程可以释放mddev2
6. 循环尝试访问mddev2(n) -> UAF
   [竞争窗口结束]
<\/code><\/pre>
4. 漏洞复现<\/h2>
4.1 环境准备<\/h3>


编译带有漏洞的内核版本<\/p>

开启x2apic选项(防止调试时中断在apic函数)<\/li>
<\/ul>
<\/li>

创建必要的设备文件：<\/p>
mknod \/dev\/mddev b <设备号> 0<\/span>  # 通过cat \/proc\/devices查看md设备号<\/span>
<\/span><\/span><\/code><\/pre><\/li>

使用qemu运行bzImage并创建多个虚拟磁盘<\/p>
<\/li>
<\/ol>
4.2 复现步骤<\/h3>


触发probe函数创建设备文件：<\/p>

向\/dev\/mddev写入内容会触发probe探测函数<\/li>
创建\/dev\/md0设备文件<\/li>
open该文件会触发md_open<\/li>
<\/ul>
<\/li>

创建多个MD设备：<\/p>
mdadm --create \/dev\/md0 --level=<\/span>linear --raid-devices=<\/span>2<\/span> \/dev\/sda1 \/dev\/sda2
<\/span><\/span>mdadm --create \/dev\/md1 --level=<\/span>1<\/span> --raid-devices=<\/span>2<\/span> \/dev\/sdb1 \/dev\/sdb2
<\/span><\/span>mdadm --create \/dev\/md2 --level=<\/span>5<\/span> --raid-devices=<\/span>3<\/span> \/dev\/sdc1 \/dev\/sdc2 \/dev\/sdc3
<\/span><\/span><\/code><\/pre><\/li>

构造POC程序：<\/p>

在后台运行一个循环尝试释放md设备的程序<\/li>
使用nohup<\/code>让程序在后台运行<\/li>
<\/ul>
<\/li>

触发reboot：<\/p>
exit  # 或直接poweroff触发reboot<\/span>
<\/span><\/span><\/code><\/pre><\/li>

在md_notify_reboot<\/code>执行期间：<\/p>

POC程序调用mdadm --stop \/dev\/md0<\/code>释放mddev<\/li>
导致后续访问已释放的mddev触发UAF<\/li>
<\/ul>
<\/li>
<\/ol>
4.3 调试技巧<\/h3>


修改内核源码增加竞争窗口：<\/p>
\/\/ 在md_notify_reboot中添加延迟循环
<\/span><\/span><\/span><\/span>for<\/span> (int<\/span> i =<\/span> 0<\/span>; i <<\/span> 1000000<\/span>; i++<\/span>) {
<\/span><\/span>    \/\/ 空循环增加竞争可能性
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

使用slub调试工具观察堆块状态：<\/p>
slub-dump
<\/span><\/span><\/code><\/pre><\/li>

崩溃时观察：<\/p>

获取的mddev和已释放的mddev相同<\/li>
next指针被修改为0<\/li>
内核崩溃日志<\/li>
<\/ul>
<\/li>
<\/ol>
5. MD(多磁盘)设备基础知识<\/h2>
5.1 MD设备概述<\/h3>
MD块设备核心作用是将多个小磁盘统一管理，方便操作磁盘资源。<\/p>
5.2 RAID级别<\/h3>



RAID级别<\/th>
功能描述<\/th>
典型用途<\/th>
<\/tr>
<\/thead>


Linear<\/td>
简单串联磁盘，无冗余或条带化<\/td>
合并多个小磁盘为大容量设备<\/td>
<\/tr>

RAID 0<\/td>
条带化(Stripe)，提升读写性能<\/td>
高性能存储，无冗余需求<\/td>
<\/tr>

RAID 1<\/td>
镜像(Mirror)，数据完全复制<\/td>
高可用性，容忍单盘故障<\/td>
<\/tr>

RAID 5<\/td>
分布式奇偶校验，兼顾性能与冗余<\/td>
平衡存储效率与容错能力<\/td>
<\/tr>

RAID 6<\/td>
双奇偶校验，容忍双盘故障<\/td>
对数据安全性要求极高的场景<\/td>
<\/tr>

RAID 10<\/td>
RAID 1 + RAID 0的组合(先镜像再条带)<\/td>
高性能+高冗余<\/td>
<\/tr>
<\/tbody>
<\/table>
5.3 MD设备管理工具<\/h3>
主要使用mdadm<\/code>工具创建并管理MD设备：<\/p>
mdadm --create \/dev\/md0 --level=<\/span>1<\/span> --raid-devices=<\/span>2<\/span> \/dev\/sda1 \/dev\/sdb1
<\/span><\/span><\/code><\/pre>6. 漏洞利用分析<\/h2>
6.1 利用思路<\/h3>

通过条件竞争使内核访问已释放的mddev结构体<\/li>
通过堆喷射等技术控制释放后的内存内容<\/li>
篡改mddev结构体中的函数指针等关键数据<\/li>
实现任意代码执行或权限提升<\/li>
<\/ol>
6.2 利用难点<\/h3>

竞争窗口较小，需要精确控制时间<\/li>
需要了解内核内存管理机制<\/li>
需要绕过SMEP\/SMAP等保护机制<\/li>
<\/ol>
7. 漏洞修复建议<\/h2>
7.1 修复方案<\/h3>


使用list_for_each_entry<\/code>替代list_for_each_entry_safe<\/code><\/p>

确保在整个操作期间保持锁或引用计数<\/li>
<\/ul>
<\/li>

或者在解锁前对所有需要访问的元素都增加引用计数<\/p>
<\/li>
<\/ol>
7.2 修复代码示例<\/h3>
\/\/ 方案1: 使用list_for_each_entry保持锁
<\/span><\/span><\/span><\/span>list_for_each_entry(mddev, &<\/span>all_mddevs, all_mddevs) {
<\/span><\/span>    mddev_get(mddev);
<\/span><\/span>    \/\/ 保持锁直到操作完成
<\/span><\/span><\/span><\/span>}
<\/span><\/span>
<\/span><\/span>\/\/ 方案2: 提前获取所有需要的引用
<\/span><\/span><\/span><\/span>list_for_each_entry_safe(mddev, n, &<\/span>all_mddevs, all_mddevs) {
<\/span><\/span>    mddev_get(mddev);
<\/span><\/span>    mddev_get(n);  \/\/ 也保护下一个元素
<\/span><\/span><\/span><\/span>    \/\/ 解锁...
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>8. 总结与启示<\/h2>


关键教训<\/strong>：<\/p>

list_for_each_entry_safe<\/code>宏会同时获取current和next指针<\/li>
在循环中只对current指针加引用是不够的<\/li>
解锁后next指针可能被异步释放<\/li>
<\/ul>
<\/li>

通用模式<\/strong>：<\/p>

类似取双指针的操作都容易出现UAF漏洞<\/li>
锁与引用计数的配合需要谨慎设计<\/li>
链表遍历时要考虑所有可能被访问的元素<\/li>
<\/ul>
<\/li>

防御建议<\/strong>：<\/p>

仔细审查所有链表遍历代码<\/li>
确保在解锁时所有可能访问的元素都有保护<\/li>
考虑使用更安全的遍历方式或增加保护范围<\/li>
<\/ul>
<\/li>
<\/ol>
该漏洞展示了内核开发中链表操作和锁机制的复杂性，提醒开发者在设计类似功能时需要全面考虑所有可能的竞争条件和访问路径。<\/p>

RAID级别<\/th>	功能描述<\/th>	典型用途<\/th> <\/tr> <\/thead>
Linear<\/td>	简单串联磁盘，无冗余或条带化<\/td>	合并多个小磁盘为大容量设备<\/td> <\/tr>
RAID 0<\/td>	条带化(Stripe)，提升读写性能<\/td>	高性能存储，无冗余需求<\/td> <\/tr>
RAID 1<\/td>	镜像(Mirror)，数据完全复制<\/td>	高可用性，容忍单盘故障<\/td> <\/tr>
RAID 5<\/td>	分布式奇偶校验，兼顾性能与冗余<\/td>	平衡存储效率与容错能力<\/td> <\/tr>
RAID 6<\/td>	双奇偶校验，容忍双盘故障<\/td>	对数据安全性要求极高的场景<\/td> <\/tr>
RAID 10<\/td>	RAID 1 + RAID 0的组合(先镜像再条带)<\/td>	高性能+高冗余<\/td> <\/tr> <\/tbody> <\/table> 5.3 MD设备管理工具<\/h3> 主要使用`mdadm<\/code>工具创建并管理MD设备：<\/p>` mdadm --create \/dev\/md0 --level=<\/span>1<\/span> --raid-devices=<\/span>2<\/span> \/dev\/sda1 \/dev\/sdb1 <\/span><\/span><\/code><\/pre>6. 漏洞利用分析<\/h2> 6.1 利用思路<\/h3> 通过条件竞争使内核访问已释放的mddev结构体<\/li> 通过堆喷射等技术控制释放后的内存内容<\/li> 篡改mddev结构体中的函数指针等关键数据<\/li> 实现任意代码执行或权限提升<\/li> <\/ol> 6.2 利用难点<\/h3> 竞争窗口较小，需要精确控制时间<\/li> 需要了解内核内存管理机制<\/li> 需要绕过SMEP\/SMAP等保护机制<\/li> <\/ol> 7. 漏洞修复建议<\/h2> 7.1 修复方案<\/h3> 使用list_for_each_entry<\/code>替代list_for_each_entry_safe<\/code><\/p> 确保在整个操作期间保持锁或引用计数<\/li> <\/ul> <\/li> 或者在解锁前对所有需要访问的元素都增加引用计数<\/p> <\/li> <\/ol> 7.2 修复代码示例<\/h3> \/\/ 方案1: 使用list_for_each_entry保持锁 <\/span><\/span><\/span><\/span>list_for_each_entry(mddev, &<\/span>all_mddevs, all_mddevs) { <\/span><\/span> mddev_get(mddev); <\/span><\/span> \/\/ 保持锁直到操作完成 <\/span><\/span><\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ 方案2: 提前获取所有需要的引用 <\/span><\/span><\/span><\/span>list_for_each_entry_safe(mddev, n, &<\/span>all_mddevs, all_mddevs) { <\/span><\/span> mddev_get(mddev); <\/span><\/span> mddev_get(n); \/\/ 也保护下一个元素 <\/span><\/span><\/span><\/span> \/\/ 解锁... <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>8. 总结与启示<\/h2> 关键教训<\/strong>：<\/p> list_for_each_entry_safe<\/code>宏会同时获取current和next指针<\/li> 在循环中只对current指针加引用是不够的<\/li> 解锁后next指针可能被异步释放<\/li> <\/ul> <\/li> 通用模式<\/strong>：<\/p> 类似取双指针的操作都容易出现UAF漏洞<\/li> 锁与引用计数的配合需要谨慎设计<\/li> 链表遍历时要考虑所有可能被访问的元素<\/li> <\/ul> <\/li> 防御建议<\/strong>：<\/p> 仔细审查所有链表遍历代码<\/li> 确保在解锁时所有可能访问的元素都有保护<\/li> 考虑使用更安全的遍历方式或增加保护范围<\/li> <\/ul> <\/li> <\/ol> 该漏洞展示了内核开发中链表操作和锁机制的复杂性，提醒开发者在设计类似功能时需要全面考虑所有可能的竞争条件和访问路径。<\/p>

CVE-2025-22126漏洞分析与复现教学文档<\/h1>

4. 漏洞复现<\/h2>

5. MD(多磁盘)设备基础知识<\/h2>

5.1 MD设备概述<\/h3> MD块设备核心作用是将多个小磁盘统一管理，方便操作磁盘资源。<\/p>

6. 漏洞利用分析<\/h2>

7. 漏洞修复建议<\/h2>

5.1 MD设备概述<\/h3>
MD块设备核心作用是将多个小磁盘统一管理，方便操作磁盘资源。<\/p>