CVE-2023-31436 Linux内核数组越界漏洞分析与利用教学文档<\/h1>

1. 漏洞概述<\/h2>
CVE-2023-31436是Linux内核网络调度器QFQ(Quick Fair Queueing)中的一个数组越界漏洞，存在于`net\/sched\/sch_qfq.c<\/code>文件中。该漏洞允许本地攻击者通过精心构造的网络数据包实现权限提升。<\/p>`

2. 漏洞分析<\/h2>
2.1 漏洞根源<\/h3>
漏洞位于qfq_change_class()<\/code>函数中，当用户态没有提供TCA_QFQ_LMAX<\/code>参数时，会直接使用网卡的MTU作为lmax<\/code>值，且未进行适当校验：<\/p>
if<\/span> (tb[TCA_QFQ_LMAX]) {
<\/span><\/span>    lmax =<\/span> nla_get_u32(tb[TCA_QFQ_LMAX]);
<\/span><\/span>    if<\/span> (lmax <<\/span> QFQ_MIN_LMAX ||<\/span> lmax ><\/span> (1UL<\/span> <<<\/span> QFQ_MTU_SHIFT)) {
<\/span><\/span>        pr_notice("qfq: invalid max length %u<\/span>\n<\/span>"<\/span>, lmax);
<\/span><\/span>        return<\/span> -<\/span>EINVAL;
<\/span><\/span>    }
<\/span><\/span>} else<\/span>
<\/span><\/span>    lmax =<\/span> psched_mtu(qdisc_dev(sch)); \/\/ [1] 漏洞点
<\/span><\/span><\/span><\/code><\/pre>特别地，loopback网卡的MTU可以被设置为2^31-1<\/code>，这会导致后续计算出现问题。<\/p>
2.2 漏洞触发路径<\/h3>

qfq_change_class()<\/code>中未校验的lmax<\/code>被传递给qfq_init_agg()<\/code><\/li>
在qfq_update_agg()<\/code>中，使用lmax<\/code>计算索引i<\/code>：
int<\/span> i =<\/span> qfq_calc_index(agg-><\/span>inv_w, agg-><\/span>budgetmax, q-><\/span>min_slot_shift);
<\/span><\/span>agg-><\/span>grp =<\/span> &<\/span>q-><\/span>groups[i]; \/\/ [4] 越界访问点
<\/span><\/span><\/span><\/code><\/pre><\/li>
q->groups<\/code>数组大小仅为25(QFQ_MAX_INDEX + 1<\/code>)，当i<\/code>超过25时会导致越界访问<\/li>
<\/ol>
3. 漏洞利用<\/h2>
3.1 利用原语<\/h3>
漏洞提供了两种利用原语：<\/p>


qfq_slot_insert原语<\/strong>：<\/p>

通过hlist_add_head()<\/code>实现越界指针写入<\/li>
通过__set_bit()<\/code>实现越界位设置<\/li>
<\/ul>
<\/li>

qfq_schedule_agg原语<\/strong>：<\/p>

通过控制grp->index<\/code>实现__set_bit()<\/code>的越界写<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 利用策略<\/h3>


堆布局<\/strong>：<\/p>

使用dyn-kmalloc-8192<\/code>堆喷qdisc_size_table<\/code>对象<\/li>
使用kmalloc-128<\/code>堆喷xdp_umem<\/code>对象<\/li>
<\/ul>
<\/li>

类型混淆<\/strong>：<\/p>

通过越界写修改相邻qdisc->filter_list<\/code>指针<\/li>
使其指向xdp_umem<\/code>对象，利用xdp_umem->addrs<\/code>与tcf_proto->next<\/code>重叠的特性<\/li>
<\/ul>
<\/li>

控制流劫持<\/strong>：<\/p>

用户态控制共享内存中的next<\/code>指针指向伪造的tcf_proto<\/code>结构<\/li>
通过tp->classify<\/code>函数指针实现ROP<\/li>
<\/ul>
<\/li>
<\/ol>
3.3 关键数据结构<\/h3>
struct<\/span> qfq_sched {
<\/span><\/span>    struct<\/span> tcf_proto __rcu *<\/span>filter_list;
<\/span><\/span>    struct<\/span> tcf_block *<\/span>block;
<\/span><\/span>    struct<\/span> Qdisc_class_hash clhash;
<\/span><\/span>    u64 oldV, V;
<\/span><\/span>    struct<\/span> qfq_aggregate *<\/span>in_serv_agg;
<\/span><\/span>    u32 wsum;
<\/span><\/span>    u32 iwsum;
<\/span><\/span>    unsigned<\/span> long<\/span> bitmaps[QFQ_MAX_STATE];
<\/span><\/span>    struct<\/span> qfq_group groups[QFQ_MAX_INDEX +<\/span> 1<\/span>]; \/\/ 大小25
<\/span><\/span><\/span><\/span>    u32 min_slot_shift;
<\/span><\/span>    u32 max_agg_classes;
<\/span><\/span>    struct<\/span> hlist_head nonfull_aggs;
<\/span><\/span>};
<\/span><\/span><\/code><\/pre>4. 补丁分析<\/h2>
补丁将lmax<\/code>的校验移到了所有获取路径之后：<\/p>
 if (tb[TCA_QFQ_LMAX])
<\/span><\/span>     lmax = nla_get_u32(tb[TCA_QFQ_LMAX]);
<\/span><\/span> else
<\/span><\/span>     lmax = psched_mtu(qdisc_dev(sch));
<\/span><\/span>+if (lmax < QFQ_MIN_LMAX || lmax > (1UL << QFQ_MTU_SHIFT)) {
<\/span><\/span><\/span>+    pr_notice("qfq: invalid max length %u\n", lmax);
<\/span><\/span><\/span>+    return -EINVAL;
<\/span><\/span><\/span>+}
<\/span><\/span><\/span><\/code><\/pre>5. 防御与缓解<\/h2>

及时更新内核补丁<\/li>
限制非特权用户设置网络设备参数的能力<\/li>
启用内核地址空间布局随机化(KASLR)<\/li>
启用SMAP\/SMEP保护<\/li>
<\/ol>
6. 变体分析与审计建议<\/h2>

审计所有从设备属性获取参数的代码路径<\/li>
特别注意loopback等特殊设备的属性设置<\/li>
检查所有数组索引计算前的边界校验<\/li>
关注网络子系统中类似QFQ的调度器实现<\/li>
<\/ol>
7. 参考资源<\/h2>

官方补丁<\/a><\/li>
Google安全研究漏洞分析<\/a><\/li>
侧信道攻击工具<\/a><\/li>
<\/ol>

CVE-2023-31436 Linux内核数组越界漏洞分析与利用教学文档<\/h1>

1. 漏洞概述<\/h2> CVE-2023-31436是Linux内核网络调度器QFQ(Quick Fair Queueing)中的一个数组越界漏洞，存在于net\/sched\/sch_qfq.c<\/code>文件中。该漏洞允许本地攻击者通过精心构造的网络数据包实现权限提升。<\/p>

3. 漏洞利用<\/h2>

7. 参考资源<\/h2> 官方补丁<\/a><\/li> Google安全研究漏洞分析<\/a><\/li> 侧信道攻击工具<\/a><\/li> <\/ol>

1. 漏洞概述<\/h2>
CVE-2023-31436是Linux内核网络调度器QFQ(Quick Fair Queueing)中的一个数组越界漏洞，存在于`net\/sched\/sch_qfq.c<\/code>文件中。该漏洞允许本地攻击者通过精心构造的网络数据包实现权限提升。<\/p>`

7. 参考资源<\/h2>

官方补丁<\/a><\/li>
Google安全研究漏洞分析<\/a><\/li>
侧信道攻击工具<\/a><\/li> <\/ol>