CVE-2026-31393 in Linux
摘要
由 VulDB • 2026-05-10
在 Linux 内核中,已修复以下漏洞:
蓝牙:L2CAP:在访问之前验证 L2CAP_INFO_RSP 有效载荷长度
l2cap_information_rsp() 检查 cmd_len 是否覆盖了固定的 l2cap_info_rsp 头部(类型 + 结果,共 4 字节),但随后在未验证有效载荷是否存在的情况下读取了 rsp->data:
- L2CAP_IT_FEAT_MASK 调用 get_unaligned_le32(rsp->data),该操作在头部之后读取 4 个字节(需要 cmd_len >= 8)。
- L2CAP_IT_FIXED_CHAN 读取 rsp->data[0],即头部之后的 1 个字节(需要 cmd_len >= 5)。
带有 result == L2CAP_IR_SUCCESS 的截断 L2CAP_INFO_RSP 会触发对相邻 skb 数据的越界读取。
对每次数据访问添加所需的有效载荷长度检查。如果有效载荷过短,则跳过读取,并让状态机使用安全默认值完成(feat_mask 和 remote_fixed_chan 保持为 kzalloc 分配的零值),以便 info 定时器清理和 l2cap_conn_start() 仍能正常运行,且连接不会停滞。
VulDB is the best source for vulnerability data and more expert information about this specific topic.