漏洞链接
https://nvd.nist.gov/vuln/detail/CVE-2013-4127
bugzilla链接
https://bugzilla.redhat.com/show_bug.cgi?id=980643
patch链接
漏洞分析
漏洞成因
该漏洞是kernel中的vhost_net_flush()存在use-after-free问题。
vhost_net_ubuf_put_and_wait has a confusing name: it will actually also free it’s argument. Thus since commit 1280c27f8e29acf4af2da914e80ec27c3dbd5c01.
“vhost-net: flush outstanding DMAs on memory change” vhost_net_flush tries to use the argument after passing it to vhost_net_ubuf_put_and_wait, this results in use after free. To fix, don’t free the argument in vhost_net_ubuf_put_and_wait, add an new API for callers that want to free ubufs.
vhost net flush函数的定义如下:
由上可知,vhost net flush()里面嵌套vhost_net_ubuf_put_and_wait(),flush会将ubufs传给wait(),wait()定义如下:
static void vhost_net_ubuf_put_and_wait(struct vhost_net_ubuf_ref *ubufs)
{
kref_put(&ubufs->kref, vhost_net_zerocopy_done_signal);
wait_event(ubufs->wait, !atomic_read(&ubufs->kref.refcount));
kfree(ubufs);
}
因为wait里面会free掉ubufs,而flush之后又会使用ubufs,所以会造成use-after-free。
patch分析
patch如下:
patch的原理是:将wait中实现free的部分抽出来,重新加入一个API——free()来单独实现free功能,哪个地方需要真正free,就将wait函数换成free函数,因为free函数也包含wait的功能,所以逻辑不会发成错误。
这样如果在flush中调用wait时,wait中就不会发生free ubufs的情况,也就不会发生use-after-free。
所以该patch是从remove wrong free根本上解决的use-after-free的问题。