关于Linux内核条件竞争的探讨

CVE-2016-2546就是一个未正确加锁导致的条件竞争问题，允许多个进程同时对同一共享资源进行访问，未充分考虑加锁导致的条件竞争。

snd_timer_user_ioctl函数中未进行加锁，所以可以多个线程同时进入此函数。SNDRV_TIMER_IOCTL_SELECT和SNDRV_TIMER_IOCTL_START等多个选项之间存在竞争。

snd_timer_user_tselect函数首先对tu->tread_sem进行加锁操作，然后调用snd_timer_close关闭现有的timeri。

若此时另一线程通过cmd为SNDRV_TIMER_IOCTL_START参数调用snd_timer_user_ioctl，则会在snd_timer_user_start中导致对tu->timeri的UAF。

补丁也比较简单，直接对snd_timer_user_ioctl整个范围加锁。

如下是snd_timer相关的文件操作，重点关注snd_pcm_common_ioctl函数。

snd_pcm_hw_free函数首先通过snd_pcm_stream_lock_irq进行加锁操作，但在调用do_hw_free进行释放前，就已调用snd_pcm_stream_unlock_irq解锁，所以如果多线程同时调用snd_pcm_hw_free就可能会导致竞争问题。

下文将通过CVE-2022-1998进行说明。

在copy_event_to_user中调用create_fd创建对应的file对象和fd，紧接着调用fd_install使得用户态可以通过fd访问对应的file对象，然后调用copy_info_records_to_user，此时若copy_info_records_to_user返回失败，则会进入失败处理流程，调用fput释放file对象，但如果用户态在fput之前就调用close释放了file对象，那么在fput中会出现UAF/Double Free。

CVE-2023-33288就是这一类问题，在bq24190_probe函数中初始化input_current_limit_work工作队列指针为bq24190_input_current_limit_work。

之后当外部电源改变时，会调用bq24190_charger_external_power_changed将input_current_limit_work加入到延迟工作队列中（300ms后才会真正调用bq24190_input_current_limit_work）。

总而言之，Linux内核中依然存在很多的条件竞争问题，和其它漏洞类型相比，条件竞争相对不易于理解，难以触发，希望本文能起到抛砖引玉的效果。