Linux 内核首个涉及 Rust 代码的安全漏洞公开：源于开发者在 unsafe 代码逻辑疏漏

12 月 18 日消息，Linux 内核维护者 Greg Kroah-Hartman 宣布了内核中首个涉及 Rust 代码的安全漏洞（CVE-2025-68260），打破了 Rust 语言“绝对内存安全”的固有印象。

援引博文介绍，问题具体出现在负责 Android系统进程间通信的 Binder 驱动重写版本中，受影响系统涵盖了运行 Linux 6.18 及更高版本的设备。

深入分析显示，漏洞并非源自 Rust 语言本身的安全机制失效，而是源于开发者在“unsafe”代码块中的逻辑疏漏。

Rust 允许开发者使用“unsafe”关键字绕过编译器检查以执行底层操作。在 Binder 驱动中，当多个线程同时访问一个名为“死亡通知列表（death notification list）”的结构后，代码未能有效阻止并行操作。这种竞态条件导致一个线程在移动列表项时，另一个线程试图删除项，从而破坏了链表结构。

虽然“内存损坏”听起来惊悚，但该漏洞的实际危害相对有限。技术细节表明，这种指针损坏会触发内核分页错误，导致整个系统崩溃（拒绝服务攻击），但并不支持远程代码执行或权限提升。

这在安全领域算是不幸中的万幸。即便如此，对于追求高可用性的服务器和移动设备而言，内核崩溃依然是不可接受的严重故障。

该媒体指出此次事件为过分迷信 Rust 的开发者敲响了警钟。Rust 的安全保证仅适用于其“Safe”代码部分，而内核开发为了兼顾性能与硬件控制，不得不频繁使用“unsafe”操作，这恰恰是风险最高的地方。

针对该漏洞的修复方案已迅速出炉，并被合并至 Linux 6.18.1 和 6.19-rc1 版本中，修复代码调整了死亡通知列表的管理逻辑，从根本上杜绝了并发访问冲突。Linux 内核 CVE 团队强烈建议系统管理员和用户尽快将内核升级至最新的稳定版本，而不是尝试手动修补单个漏洞，以确保系统的整体稳定性与安全性。