CVE-2019-11815内核竞态漏洞推测

最新推荐文章于 2024-07-17 09:58:42 发布
最新推荐文章于 2024-07-17 09:58:42 发布
阅读量347 收藏
点赞数
分类专栏: 漏洞溢出 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/105731040
版权

这个本来想看下利用过程,奈何没找到poc. 感觉自己其实也懂不少原理了,来推测下吧。
https://www.freebuf.com/vuls/208256.html

补丁位置

根据官网漏洞信息,可以知道此漏洞大概是个uaf之类的漏洞。


static void rds_tcp_kill_sock(struct net *net)
{
	struct rds_tcp_connection *tc, *_tc;
	LIST_HEAD(tmp_list);
	struct rds_tcp_net *rtn = net_generic(net, rds_tcp_netid);
	struct socket *lsock = rtn->rds_tcp_listen_sock;

	rtn->rds_tcp_listen_sock = NULL;
	rds_tcp_listen_stop(lsock, &rtn->rds_tcp_accept_w);
	spin_lock_irq(&rds_tcp_conn_lock);
	list_for_each_entry_safe(tc, _tc, &rds_tcp_conn_list, t_tcp_node) {
		struct net *c_net = read_pnet(&tc->t_cpath->cp_conn->c_net);

		if (net != c_net || !tc->t_sock)
			continue;
		if (!list_has_conn(&tmp_list, tc->t_cpath->cp_conn)) {
			list_move_tail(&tc->t_tcp_node, &tmp_list);
		} else {
			list_del(&tc->t_tcp_node);
			tc->t_tcp_node_detached = true;
		}
	}
	spin_unlock_irq(&rds_tcp_conn_lock);
	list_for_each_entry_safe(tc, _tc, &tmp_list, t_tcp_node)
		rds_conn_destroy(tc->t_cpath->cp_conn);
}



diff --git a/net/rds/tcp.c b/net/rds/tcp.c
index fd26941..faf726e 100644
--- a/net/rds/tcp.c
+++ b/net/rds/tcp.c
@@ -608,7 +608,7 @@ static void rds_tcp_kill_sock(struct net *net)
 	list_for_each_entry_safe(tc, _tc, &rds_tcp_conn_list, t_tcp_node) {
 		struct net *c_net = read_pnet(&tc->t_cpath->cp_conn->c_net);
 
-		if (net != c_net || !tc->t_sock)
+		if (net != c_net)
 			continue;
 		if (!list_has_conn(&tmp_list, tc->t_cpath->cp_conn)) {
 			list_move_tail(&tc->t_tcp_node, &tmp_list);

可以看到在某个if语句中删掉了tc->t_socket这个指针的判断。也就是说,漏洞是触发了t_sock不为空的状态,是函数执行到了list_move_tail的list添加tmp_list过程。我们看到之后会对这个list进行rds_conn_destroy。

漏洞细节推测

到了destroy这里,其实已经比较明确了。uaf的利用过程是对释放后没有清空的堆栈进行二次利用的手段,那么我可以比较肯定的推测这个tc->t_cpath->cp_conn里面肯定有一个函数指针没有清空,导致了内存被占用后的利用。
其定义为:

/* One rds_connection per RDS address pair */
struct rds_connection {
	struct hlist_node	c_hash_node;
	struct in6_addr		c_laddr;
	struct in6_addr		c_faddr;
	int			c_dev_if; /* ifindex used for this conn */
	int			c_bound_if; /* ifindex of c_laddr */
	unsigned int		c_loopback:1,
				c_isv6:1,
				c_ping_triggered:1,
				c_pad_to_32:29;
	int			c_npaths;
	struct rds_connection	*c_passive;
	struct rds_transport	*c_trans;

	struct rds_cong_map	*c_lcong;
	struct rds_cong_map	*c_fcong;

	/* Protocol version */
	unsigned int		c_version;
	possible_net_t		c_net;

	struct list_head	c_map_item;
	unsigned long		c_map_queued;

	struct rds_conn_path	*c_path;
	wait_queue_head_t	c_hs_waitq; /* handshake waitq */

	u32			c_my_gen_num;
	u32			c_peer_gen_num;
};

翻看源代码rd_connectioin没有可利用的指正,rds_connect_path 可能有但没看,估计会麻烦一点。这里rds_trransport的struct被发现,可能有利用点,查看下。


struct rds_transport {
	char			t_name[TRANSNAMSIZ];
	struct list_head	t_item;
	struct module		*t_owner;
	unsigned int		t_prefer_loopback:1,
				t_mp_capable:1;
	unsigned int		t_type;

	int (*laddr_check)(struct net *net, const struct in6_addr *addr,
			   __u32 scope_id);
	int (*conn_alloc)(struct rds_connection *conn, gfp_t gfp);
	void (*conn_free)(void *data);
	int (*conn_path_connect)(struct rds_conn_path *cp);
	void (*conn_path_shutdown)(struct rds_conn_path *conn);
	void (*xmit_path_prepare)(struct rds_conn_path *cp);
	void (*xmit_path_complete)(struct rds_conn_path *cp);
	int (*xmit)(struct rds_connection *conn, struct rds_message *rm,
		    unsigned int hdr_off, unsigned int sg, unsigned int off);
	int (*xmit_rdma)(struct rds_connection *conn, struct rm_rdma_op *op);
	int (*xmit_atomic)(struct rds_connection *conn, struct rm_atomic_op *op);
	int (*recv_path)(struct rds_conn_path *cp);
	int (*inc_copy_to_user)(struct rds_incoming *inc, struct iov_iter *to);
	void (*inc_free)(struct rds_incoming *inc);

	int (*cm_handle_connect)(struct rdma_cm_id *cm_id,
				 struct rdma_cm_event *event, bool isv6);
	int (*cm_initiate_connect)(struct rdma_cm_id *cm_id, bool isv6);
	void (*cm_connect_complete)(struct rds_connection *conn,
				    struct rdma_cm_event *event);

	unsigned int (*stats_info_copy)(struct rds_info_iterator *iter,
					unsigned int avail);
	void (*exit)(void);
	void *(*get_mr)(struct scatterlist *sg, unsigned long nr_sg,
			struct rds_sock *rs, u32 *key_ret,
			struct rds_connection *conn);
	void (*sync_mr)(void *trans_private, int direction);
	void (*free_mr)(void *trans_private, int invalidate);
	void (*flush_mrs)(void);
	bool (*t_unloading)(struct rds_connection *conn);
};

果然,里面有大片的指针函数。只要任意覆盖一个,就可以出发崩溃,代码执行可能复杂点,但理论赶上也可以。

inquisiter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
linux内核远程漏洞,CVE-2019-11815:Linux内核竞争条件漏洞导致远程代码执行
weixin_33240461的博客
04-29 182
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。运行了Linux发行版的计算机设备,如果内核版本小于5.0.8的话,将有可能受到一个内核竞争条件漏洞的影响,并导致系统无法抵御远程网络攻击。潜在的攻击者可以利用Linux内核中net/rds/tcp.c的rds_tcp_kill_sock TCP/IP实现缺陷,从而触发设备的拒绝服务...
CVE-2019-11815:Linux kernel漏洞
systemino的博客
05-27 965
Linux kernel中存在漏洞是非常常见的,因为有Linux kernel有大约2600万行代码,单2018年就新添加了338万行,删除了251万行代码。代码的量和复杂性说明了其中必然存在漏洞2019年5月8日,漏洞数据库NVD(National Vulnerability Database)发布了CVE-2019-11815——Linux kernel漏洞的详情,其CVSS 3.0评分...
CVE-2019-11580 Atlassian Crowd RCE漏洞复现
墙角睡大觉的专栏
07-27 2081
0X1 漏洞概述 Atlassian Crowd和Atlassian Crowd Data Center都是澳大利亚Atlassian公司的产品。Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center是Crowd的集群部署版。 近日,研究人员发现Atlassian Crowd...
Webmin 远程命令执行漏洞CVE-2019-15107)
m0_57206390的博客
10-25 390
Webmin是一个用于管理类Unix系统的管理配置工具,具有Web页面。 该漏洞由于password_change.cgi文件在重置密码功能中存在一个代码执行漏洞,该漏洞允许恶意第三方在缺少输入验证的情况下而执行恶意代码。
cve-2019-11043复现(靶机为Ubuntu18.04,php编译安装)
ckm1607011的博客
02-29 872
最近做的项目需要复现nginx的exp,其中就包括cve-2019-11043这个exp,他是一个远程代码执行的exp; 这个cve的来源:GitHub - neex/phuip-fpizdam: Exploit for CVE-2019-11043 我看了之后在Kali上把源码编译了,大家注意编译需要1.13以上版本的go,编译出来的可执行文件在linux平台上就都可以执行了; 让我感到...
微软最新 WiFi 远程代码执行漏洞CVE-2024-30078)探究
最新发布
阿里技术
07-17 819
从函数的名称 Dt11Translate80211ToEthernetNdisPacket 可以推测,这个函数用于处理 802.11 数据包。802.11 是一种无线局域网的标准,而 WiFi 是 802.11 标准的一种产品实现。用 IDA 反编译函数,发现补丁是增加了一处对数值的比较,如果不满足条件则返回 NDIS_STATUS_INVALID_PACKET(0xc001000),即数据包非法。调用层次图表明,函数会在接收到 802.11 数据包时被调用。
CVE-2019-8449:针对Jira v2.1的CVE-2019-8449漏洞-v8.3.4
03-08
CVE-2019-8449 低于v8.3.4的Jira版本的CVE-2019-8449 Exploit CVSS得分: 5.0 漏洞类型:信息泄露身份验证:不需要受影响的版本: 2.1-8.3.4 发布日期: 2019-09-11 漏洞数据库: : 描述版本8.4.0之前的Jira中的/ ...
cve-2019-0192一把梭
Yale的博客
03-26 5246
背景: 近日,Apache Solr官方团队在最新的安全更新中披露了一则Apache Solr Deserialization 远程代码执行漏洞CVE-2019-0192)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是ConfigAPI允许通过HTTP POST请求配置Solr的JMX服务器。攻击者可以通过ConfigAPI将其配置指向恶意RMI服务器,利用Solr的不安全反序列化来触发...
USB设备管理过程
inquisiter
11-29 3547
驱动关于usb整体流程 时序图: drive device 分别attach到bus总线上,probe用来使drive驱动device 可以看到,attach后的device会找到对应的drive,并调用相应的probe函数。 关键数据结构 代码基于 内核5.11 这里以usb设备为代表,但其他总线设备道理类似。 device_attach函数中会有一个查找对应驱动的函数,算法大致是遍历总线,然后对device 和 drive对应的数据结构进行对比。 通知用户态 为了实时的通知用户态内核的设备管理
强大的硬件虚拟化
inquisiter
10-29 3205
一、vt核心vmcs 前几篇介绍了vt强大的无察觉劫持页表hook的能力,kvm的大致原理,但vt的能力远远不止于此。因为实现vt托管的操作系统,将可以做到指令级的管控。甚至直接基于vt形成调试器,如果用来调试内核,将会将会大大提高稳定性。整个vt核心全部位于vmcs的 状态域。根据intel 开发手册第三卷,控制域的核心部分分为1.guest field ,.2 host field , 3.vm-excution control field, 4.vm-Exit control field, 5.vm
dwarf 栈解析格式小结
inquisiter
08-04 3083
eh_frame 所有的dwarf都在eh_frame的节当中,具体格式如下: 一般一个cie对应多个fde,一个fde对应相应函数的寄存器恢复信息,不仅仅是栈信息。 当我们拿到eh_frame后,就需要解析cie和fde. (http://dwarfstd.org/doc/DWARF4.pdf) 官方文档有很详细的东西,不适合入门感觉。根据结尾的例子来分别讲解cie和fde. common information entry encoding cie : common information entr
arm64 内核 inline hook
inquisiter
02-17 2016
linux 内核对于安全可能是比较重要的一环。 关于syscall table 表替换的问题 这里以linux 4.15和4.19为代表的说明我遇到的问题。 syscall hook 4.15 4.19 拥有可读写状态 hook成功 hook失败 这里似乎到4.19添加了对systable的保护。 如果非要对systable进行hook,可能替换这页表,改变物理地址指向是一种解...
linux内核内存读写属性更改的问题
inquisiter
03-03 2005
在arm体系下,内核在较早版本的读写没有开启,至少在4.4版本之前。但是在4.19之后的内核,默认开启。 这里有个set_mem_rw(unsigned long ,int) 在19版本上理论上可以更改内存的读写属性,但是采取 set_mem_rw = (void *)kallsyms_lookup_name("set_memory_rw"); 进行导出引用,发现根本不管用。我还以为这里内核写的...
DirtyCow Linux权限提升漏洞分析
inquisiter
03-09 2004
DirtyCow Linux权限提升漏洞分析 如上图,这个漏洞的特点就是线程竞争导致可以读写的权限被扩大了。其实具体说可能有点绕,就是foll_write标志在row特性执行后去掉了,但是再次执行时却没有检查页表项的有效性,导致我们可以利用另一个线程清空页表。清空的页表由于没有了foll_write权限要求,再次被分配时就不执行row执行机制,导致原本不应该本写的地址拥有了写的权限。 ...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值