【绿盟科技授权,赛迪发布,谢绝任何网站转载,违者,赛迪网将保留追究其法律责任的权利!】
发布日期:2007-09-25
更新日期:2007-09-26
受影响系统:
Linux kernel < 2.6.22.8
不受影响系统:
Linux kernel 2.6.22.8
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25807
CVE(CAN) ID: CVE-2007-4571
Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux系统的ALSA声卡驱动实现上存在漏洞,本地攻击者可能利用此漏洞获取内核内存中的敏感信息。
Linux Kernel在处理多个/proc/driver/snd-page-alloc文件的读操作时存在安全漏洞,sound/core/memalloc.c文件中如下定义了读操作的系统调用snd_mem_proc_read:
484 static int snd_mem_proc_read(char *page, char **start, off_t off,
485 int count, int *eof, void *data)
486 {
487 int len = 0;
...
494 len += snprintf(page + len, count - len,
495 "pages : %li bytes (%li pages per %likB)\n",
496 pages * PAGE_SIZE, pages, PAGE_SIZE / 1024);
...
508 return len;
509 }
|
在494行调用了snprintf以生成proc文件系统项的输出,如果提供了计数值1,snprintf就会仅向目标缓冲区写入单个字节,但如果有足够空间的话,函数就会返回应写入的字节数。没有设置过*eof值,也没有使用过*ppos值。
fs/proc/generic.c文件中定义了从proc_file_read调用的这个函数:
51 static ssize_t
52 proc_file_read(struct file *file, char __user *buf, size_t nbytes,
53 loff_t *ppos)
54 {
...
136 n = dp->read_proc(page, &start, *ppos,
137 count, &eof, dp->data);
...
155 n -= *ppos;
156 if (n <= 0)
157 break;
158 if (n > count)
159 n = count;
160 start = page + *ppos;
...
186 n -= copy_to_user(buf, start < page ? page : start, n);
...
193 *ppos += start < page ? (unsigned long)start : n;
|
在136行从对snd_proc_mem_read函数的调用返回了值n。由于返回值(在单个设备的情况下大约为41)大于所请求的读大小(1),在158行n值被设置为count,之后*ppos递增,从start(计算为page + *ppos)将n字节拷贝到了用户域。
在之后的用户域读操作中,如果*ppos大于0的话,proc_file_read函数就会拷贝过snd_mem_proc_read写入的页面,导致泄露内核内存。
<*来源:Neil Kettle (mu-b@65535.com)
链接:http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.8
http://secunia.com/advisories/26918/
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=600
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 卸载snd_page_alloc模块
* 修改/etc/fstab中的加载参数限制对/proc文件系统的访问
厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.22.8.tar.bz2
(责任编辑:李磊)
