由于竞争条件导致的 TCP 紧急指针状态混淆 (CVE-2019-12263)
我们发现的最后一个紧急指针漏洞的变种是影响所有使用 IPnet 堆栈(v6.5 及更高版本)的 VxWorks 设备的竞争条件,并可能导致紧急指针的状态混乱。与前面展示这种状态混淆的结果的示例类似,这种竞争条件可能导致用户任务缓冲区的内存损坏,从而导致在充当 TCP 服务器或 TCP 客户端的目标设备上可触发远程代码执行漏洞。竞争条件的原因是,各种变量作为一个整体来表示紧急指针的状态,但在用户任务访问它们时,内核任务(tNet0)可能会单独更改这些变量(在 iptcp_usr_get_from_recv_queue 中)。如果用户任务以不同于内核任务的优先级运行,或者如果在多核环境中使用 SMP(对称多处理),则可能会发生这种情况。没有锁或互斥锁来防止这种性质的竞争条件发生。
我们可以在 iptcp_usr_get_from_recv_queue 中的这段熟悉的代码中看到一起表示紧急指针状态的各种变量:
此代码假定 TCB_STATE_URG_RECEIVED 与设置 tcb->recv.urg_ptr 变量一起设置。它还取决于同时设置 tcb->recv.seq_next 和 sock->ipcom.rcv_bytes,并且 tcb->recv.urg_ptr 也与这些变量一起设置。
例如,如果正在获取 sock->ipcom.rcv_bytes 值和 tcb->recv.seq_next 值之间的 len 计算被抢占,同时接收的任何新段将任意增加该函数中的该两个获取值之间的差值。这将使攻击者能够使 len 变量下溢,从而导致前面描述的易受攻击的情况。这种竞争条件的其他例子也可能导致这种下溢。
如果执行 recv() 调用的任务的优先级低于 IPnet 任务的优先级,则这种竞争条件是可能发生的,因此一旦从网络接收到新数据包,它将立即被抢占。 在任何情况下,在多核 SMP 系统上也是可能的,无论优先级如何。