bluedragonsecurity/CVE-2026-23416-POC

# CVE-2026-23416 — PoC **mm/mseal: 正确更新合并时的 VMA 末端** ## 概述 | 字段 | 详情 | |---|---| | **CVE ID** | [CVE-2026-23416](https://www.cve.org/CVERecord?id=CVE-2026-23416) | | **子系统** | `mm/mseal` — `mm/vma.c` | | **受影响版本** | Linux kernel **6.17** 至 **7.0-rc5** | | **修复版本** | Linux 7.0-rc6，稳定版反向移植 6.18.21、6.19.11 | | **所需权限** | 无特权用户 (UID 1000，无 capabilities) | | **使用的系统调用** | `memfd_create`、`mmap`、`mseal` | | **复现率** | 100% 确定性，< 1 秒 | | **保留日期** | 2026-01-13 | | **发布日期** | 2026-04-02 | ## 漏洞描述 该漏洞位于 `mm/mseal.c` 的 `mseal_apply()` 函数中。在遍历 VMA 以应用 `mseal(2)` 系统调用时，该函数使用 `curr_start` 和 `curr_end` 来跟踪位置： ``` /* Simplified pre-fix logic */ curr_end = vma->vm_end; /* ... process VMA ... */ curr_start = curr_end; /* advance to next VMA */ ``` 问题在于：在迭代期间被调用的 `vma_modify_flags()` 会**合并 VMA**，从而原地修改 `vma->vm_end`。这导致在合并前捕获的 `curr_end` 值变得**陈旧**。在下一次迭代中，`curr_start` 被设置为现已陈旧的 `curr_end`，从而产生了一个**错误的起始地址**。 在调试内核（`CONFIG_DEBUG_VM`）中，这种不一致的 `vmg` 状态会在 `mm/vma.c:830` 处触发： ``` VM_WARN_ON_VMG(middle && ((middle != prev && vmg->start != middle->vm_start) || vmg->end > middle->vm_end)) ``` 并产生内核 `WARNING`。 在**生产环境内核**中（WARN 被编译为空操作），陈旧的 `curr_start` 会静默地继续执行——这意味着 `VM_SEALED` 可能被应用于错误的地址范围，而没有任何可见的错误，**破坏了 `mseal(2)` 旨在提供的安全保证**。 ### 调用路径 ``` mseal(2) └─ do_mseal() [mm/mseal.c] └─ mseal_apply() └─ vma_modify_flags() [mm/vma.c] └─ vma_modify() └─ vma_merge_existing_range() └─ VM_WARN_ON_VMG fires at line 830 ``` ## 根本原因 ``` /* BEFORE fix — mm/mseal.c mseal_apply() */ curr_end = vma->vm_end; // captured here /* ... vma_modify_flags() may merge VMAs, changing vma->vm_end ... */ curr_start = curr_end; // stale! merge is not reflected ``` 修复方案在每次迭代的*任何潜在合并之后*，无条件地设置 `curr_end = vma->vm_end`，并将 `curr_start`/`curr_end` 钳位为从输入范围和 VMA 边界派生的 `const` 值： ``` /* AFTER fix */ curr_end = vma->vm_end; // unconditional, always fresh ``` ## 触发时的 VMA 布局 PoC 在第二次 `mseal()` 调用之前构建了以下布局： ``` [0x21da6000 - 0x21de5fff] VMA-A (fd2, MAP_SHARED|MAP_FIXED) ← VM_SEALED after step 1 [0x21de6000 - 0x21e82fff] VMA-B (fd2, MAP_SHARED|MAP_FIXED) ← NOT sealed [0x21e83000 - 0x21e84fff] VMA-C (leftover) ``` 第二次 `mseal(m2, 0x70000)` 的目标是 `[0x21da6000 – 0x21e15fff]`，横跨了 VMA-A（已密封）到 VMA-B（未密封）。在 `mseal_apply()` 内部，处理 VMA-B 时将来自 VMA-A 的陈旧 `curr_end` 用作了 `curr_start`，从而创建了不一致的 `vmg` 状态。 ## 安全影响 1. **可从无特权用户空间触达** — 仅需 `memfd_create + mmap + mseal`，无需任何 `CAP_*` 权限。 2. **`mseal(2)` 是一种安全原语** — 它保护 VMA 的不可变性。其应用逻辑中的错误意味着，当横跨具有混合密封状态的 VMA 时，`VM_SEALED` 可能会被静默地错误应用。 3. **在生产环境中静默发生** — 在非调试内核上，不一致的状态在继续执行时不会产生任何警告，可能会使 VMA 树保留错误的密封状态。 ## 概念验证 **文件：** [`cve-2026-23416-poc.c`](cve-2026-23416-poc.c) ### 构建 ``` gcc -o poc cve-2026-23416-poc.c ``` ### 运行 ``` ./poc ``` ### 预期输出（启用了 `CONFIG_DEBUG_VM` 的调试内核） ``` ============================================ CVE-2026-23416-POC Discovered by : Antonius / Blue Dragon Security https://bluedragonsec.com https://github.com/bluedragonsecurity ============================================ [iter 0] [iter 1] ... [+] WARNING triggered N times total ``` 检查 `dmesg` 输出： ``` WARNING: CPU: X PID: Y at mm/vma.c:830 vma_merge_existing_range+0x... ``` ### 环境要求 - Linux kernel 6.17 – 7.0-rc5 - 需设置 `CONFIG_DEBUG_VM=y` 以观察 `VM_WARN_ON_VMG`（在生产环境内核上该漏洞仍然存在，但不会产生警告） - 不需要 root 权限或特殊的 capabilities ## 修复 三个上游修复提交（已在 7.0-rc6 和稳定版反向移植中应用）： | 提交 | 分支 | |---|---| | [`40b3f4700e55`](https://git.kernel.org/stable/c/40b3f4700e5535fbe74738cebb9379a40ec66bed) | stable | | [`83737e34b83a`](https://git.kernel.org/stable/c/83737e34b83a23b2a9bcf586b058b2c2a54c7c6b) | stable | | [`2697dd8ae721`](https://git.kernel.org/stable/c/2697dd8ae721db4f6a53d4f4cbd438212a80f8dc) | stable | **修复的内核版本：** 7.0-rc6、6.18.21、6.19.11 ## 参考 - [CVE-2026-23416 — cve.org](https://www.cve.org/CVERecord?id=CVE-2026-23416) - [CVE-2026-23416 — NVD](https://nvd.nist.gov/vuln/detail/CVE-2026-23416) - [技术分析文章 — Medium (@w1sdom)](https://medium.com/@w1sdom/cve-2026-23416-poc-affecting-linux-kernel-6-17-linux-kernel-7-0-rc-5-457afc9ad9e3) - [Blue Dragon Security](https://bluedragonsec.com) ## 漏洞披露时间线 | 日期 | 事件 | |---|---| | 2026-01-13 | 保留 CVE ID | | 2026-04-02 | 发布 CVE，合并修复提交 | ## 作者 **Antonius** ([@w1sdom](https://medium.com/@w1sdom)) [Blue Dragon Security](https://bluedragonsec.com) — 印度尼西亚 唐格朗 GitHub: [bluedragonsecurity](https://github.com/bluedragonsecurity) *本 PoC 仅出于教育和研究目的发布。*

标签：0day, CVE-2026-23416, Hpfeeds, Linux内核, LPE, mm/mseal, mseal, PoC, VMA, Web报告查看器, 内存管理, 内存越界, 内核漏洞, 协议分析, 安全机制绕过, 安全渗透, 客户端加密, 暴力破解, 本地提权, 权限提升, 漏洞复现, 系统调用, 网络安全, 隐私保护