CVE-2016-7912 分析报告

最新推荐文章于 2024-08-13 11:22:51 发布
最新推荐文章于 2024-08-13 11:22:51 发布
阅读量169 收藏
点赞数
文章标签: git 运维 操作系统
原文链接:http://www.cnblogs.com/r1ng0/p/9448039.html
版权

CVE-2016-7912

背景介绍

在内核USB驱动中,进行异步读取或写入时,调用ki_complete(),会提前释放kiocb结构体,从而造成UAF漏洞,但经过分析,发现无法利用此漏洞进行攻击。

漏洞影响

1.影响版本链接: https://www.securityfocus.com/bid/94197

漏洞详情

以4.5.2版本内核为例进行分析

相关结构体如下:

struct aio_kiocb {
    struct kiocb        common;

    struct kioctx       *ki_ctx;
    kiocb_cancel_fn     *ki_cancel;

    struct iocb __user  *ki_user_iocb;  /* user's aiocb */
    __u64           ki_user_data;   /* user's data for completion */

    struct list_head    ki_list;    /* the aio core uses this
                         * for cancellation */

    /*
     * If the aio_resfd field of the userspace iocb is not zero,
     * this is the underlying eventfd context to deliver events to.
     */
    struct eventfd_ctx  *ki_eventfd;
};

struct kiocb {
    struct file     *ki_filp;
    loff_t          ki_pos;
    void (*ki_complete)(struct kiocb *iocb, long ret, long ret2);
    void            *private;
    int         ki_flags;
};

漏洞代码如下:

/* /drivers/usb/gadget/function/f_fs.c/ */
static void ffs_user_copy_worker(struct work_struct *work)
{
    struct ffs_io_data *io_data = container_of(work, struct ffs_io_data,
                           work);
    int ret = io_data->req->status ? io_data->req->status :
                     io_data->req->actual;

    if (io_data->read && ret > 0) {
        use_mm(io_data->mm);
        ret = copy_to_iter(io_data->buf, ret, &io_data->data);
        if (iov_iter_count(&io_data->data))
            ret = -EFAULT;
        unuse_mm(io_data->mm);
    }

    io_data->kiocb->ki_complete(io_data->kiocb, ret, ret);//        (1)

    if (io_data->ffs->ffs_eventfd &&
        !(io_data->kiocb->ki_flags & IOCB_EVENTFD))
        eventfd_signal(io_data->ffs->ffs_eventfd, 1);

    usb_ep_free_request(io_data->ep, io_data->req);

    io_data->kiocb->private = NULL;//                    (2)
    if (io_data->read)
        kfree(io_data->to_free);
    kfree(io_data->buf);
    kfree(io_data);
}

其中在(1)处调用函数为:static void aio_complete(struct kiocb *kiocb, long res, long res2),其实现大体如下(忽略掉无关代码):

static void aio_complete(struct kiocb *kiocb, long res, long res2)
{
    struct aio_kiocb *iocb = container_of(kiocb, struct aio_kiocb, common);//(3)
    //无关代码省略
    kiocb_free(iocb);//(4)
    //无关代码省略
}

可以看出,在(4)处,释放掉了kiocb结构,而在(2)处,又对其进行写操作.造成UAF漏洞.

但是我们不能通过提前布局释放掉的kiocb结构,进行利用。因为在这之后,不能通过其更改CPU的执行路径,进而发起攻击。也无法通过其进行任意内存读写。所以无法进行漏洞利用。但是可以利用条件竞争,破坏下一个申请该内存的结构,造成DOS

调试环境搭建

环境搭建参考:http://blog.nsfocus.net/gdb-kgdb-debug-application

目标机上通过: modprobe usb_f_fs,加载相应模块.然后通过VMware虚拟机的USB功能,插入USB设备.
此时通过 cat /proc/modules | grep usb_f_fs 获得对应模块地址
getAddr.jpg
获得地址后,可以通过客户机下断点。

然后在目标机上编写usb 异步写程序,使目标机进入ffs_user_copy_worker函数,进行跟踪与调试

修复建议

建议所有受影响用户,及时进行安全更新,可选方式如下:

1、相关Linux发行版已经提供了安全更新,请通过 yum 或 apt-get 的形式进行安全更新。

2、自定义内核的用户,请自行下载对应源码补丁进行安全更新。 补丁链接:
建议所有受影响用户,及时进行安全更新,可选方式如下:

1、相关Linux发行版已经提供了安全更新,请通过 yum 或 apt-get 的形式进行安全更新。

2、自定义内核的用户,请自行下载对应源码补丁进行安全更新。 补丁链接:

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=38740a5b87d53ceb89eb2c970150f6e94e00373a

参考文档

  1. https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=38740a5b87d53ceb89eb2c970150f6e94e00373a
  2. http://appscan.360.cn/blog/?p=171
  3. https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-7912

转载于:https://www.cnblogs.com/r1ng0/p/9448039.html

weixin_30555515
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 文件系统解析(四)IO模式
xyin_kevin的博客
08-02 5186
文件系统是IO流程的起点,为了满足应用程序对IO操作的各种需求,在文件系统层设计了多种IO模式,上一篇介绍的bufferIO是最常见的一种,本篇来梳理一下其他IO模式,它们的作用,流程以及是如何实现的。 DirectIO DAX 异步IO aio iouring 多路复用 select poll epoll mmap ...
Linux内核文件读取流程
嵌入式Linux内核的博客
06-06 2040
本文代码基于Linux5.10。当上层调用read函数读取一个文件时, Linux 内核究竟如何处理?本文主要介绍这个问题。
struts2 cve-2016-3081 BUG版本升级整理
05-06
cve-2016-3081 BUG版本升级整理,里面有Struts 2.1.8 升级 Struts 2.3.28需要替换的jar包,如不是2.1.8的可以做一个简单的参考。可能每个人中引用的jar包不同,但通过参考能节省调试时间,希望对大家有帮助
绿盟科技互联网安全威胁周报2016.33 请关注Nginx本地提权漏洞CVE-2016-1247
weixin_34365417的博客
09-01 663
绿盟科技发布了本周安全通告,周报编号NSFOCUS-16-33,绿盟科技漏洞库本周新增39条,其中高危21条。本次周报建议大家关注Nginx本地提权漏洞,可导致远程代码执行。目前该漏洞已经在1.6.2-5+deb8u3中修复,请低版本的Debian/ubuntu用户及时更新补丁。 焦点漏洞 Nginx本地提权漏洞 NSFOCUS ID3524...
Struts2方法调用远程代码执行漏洞(CVE-2016-3081)分析
weixin_33708432的博客
03-08 654
绿盟科技 · 2016/04/26 18:070x00 漏洞简述2016年4月21日Struts2官方发布两个CVE,其中CVE-2016-3081官方评级为高。主要原因为在用户开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。从我自己搜索的情况来看,国内开启这个功能的网站不在少数,所以这个“Possible Remote Code Execution”漏洞的被打的可能性还是很高的。0x0...
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 22万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
CVE-2016-1000027分析
GalaxySpaceX的博客
04-10 1万+
CVE-2016-1000027 漏洞原理和修复方法
CVE-2016-3720
02-22
这个项目是CVE-2016-3720 Demo,为了避免搭建环境,大佬们可以直接获取到这个资源。 相对应的分析文章是:https://blog.csdn.net/qq_36869808 可以在这篇文章看到分析的内容,感谢~当然如果非常需要这个资源,也...
CVE-2016-8655 Linux内核提权漏洞POC
11-18
CVE-2016-8655 Linux内核提权漏洞POC
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
Linux内核追踪[4.13] AIO的非阻塞优化
Qixuan.wu的专栏
10-24 1042
AIO被人诟病得较多的是一些读写操作,会经常由于某些条件而阻塞,做不到真正的异步IO。io_submit中会将kiocb->ki_flags成员的IOCB_NOWAIT。之后在FS层(如ext4/xfs/btrfs)和PageCache层,遇到kiocb->ki_flags成员的IOCB_NOWAIT flag在BIO层被转换为了REQ_NOWAIT flag,在遇到该标志且有阻塞时,返回EA
为什么要使用copy_from_user
不算太晚
09-09 938
作者:海枫 链接:https://www.zhihu.com/question/19728793/answer/137768893 来源:知乎 Q:linux在系统调用进入内核时,为什么要将参数从用户空间拷贝到内核空间?不能直接访问,或是使用memcpy吗?非要使用copy_from_user才行吗? 在现代通用操作系统里面,cpu运行指令时,它的运级别分为用户态和内核态这两个态,内核要保护应用程序,不能让用户态的数据对内核进行污染。 那用户态要委托内核完成某个服务时(比如打开文件,访问文件内容),必须通过
深入理解 Linux 内核---访问文件
新博客:https://aping-dev.com/
01-05 2119
访问基于磁盘的文件是一种复杂的活动,既涉及 VFS 抽象层、块设备的处理,页涉及磁盘高速缓存的使用。 将磁盘文件系统的普通文件和块设备文件都简单地统称为“文件”。 访问文件的模式有多种: 规范模式:规范模式下文件打开后,标志 O_SYNC 和 O_DIRECT 清 0,且它的内容是由系统调用 read() 和 write() 来存取。 read() 将阻塞调用进程,直到数据被拷贝进用户态地址空间...
git安装
qq_64782704的博客
08-10 859
版本控制是指对软件开发过程中各种程序代码,配置文件及说明文档等文件变更的管理,是软件配置管理的核心思想之一版本控制的主要功能是追踪文件的变更,它将什么时候,什么人更改了文件的什么内容等信息都一五一十的记录了下来,每一次文件的变更,文件的版本号都将增加,除了记录文件的变更之外,还可以用于解决企业中多人合作开发,代码管理共享的问题版本控制可以解决两个问题。
Chromium编译指南2024 - Android篇:前置要求(一)
守城小轩的技术窝棚
08-09 629
通过本篇文章,我们详细介绍了在 Android 平台上编译 Chromium 所需的前置要求,包括系统和硬件要求。确保您的开发环境满足这些要求,是成功编译 Chromium 的关键步骤。我们讨论了使用 Ubuntu 24.04 LTS 操作系统、安装 Git 和 Python 等必要软件,以及配备足够的 RAM 和磁盘空间的重要性。同时,我们强调了稳定高速的网络条件对于下载和同步源代码的影响。
版本控制基础理论
最新发布
To_be_Designer
08-13 230
所有的版本都存在服务器上,用户的本地只有自己以前所同步的版本。而且所有的数据都保存在单一的服务器上,有很大的风险这个服务器会损坏,这样就会丢失所有的数据,当然可以定期备份,代表产品WSVN,CVS,VSS.所有的版本信息仓库全部同步到本地的每个用户,这样就可以在本地查看所有版本历史,可以离线在本地提交,只需在联网时push到相应的服务器或其他用户那里。由于每个用户那里保存在都是所有的版本数据,只要有一个用户的设备没有问题就可以恢复所有的数据,但这里增加了本地存储的占用。其中HEAD指向最新放入仓库的版本。
记录一次.gitignore 失效问题
qq_38883889的博客
08-12 237
今天使用git同步同事的代码时,出现一个问题,.gitignore限制失效,导致我本地生成的临时缓存文件被跟踪到了commit中,执行 git rm --cache .后再add commit也不行,很奇怪就研究了一下,下面将我的解决方案分享出来供大家参考。
git push失败,git操作顺序
calabash_man的博客
08-09 277
提示:详见 ‘git push --help’ 中的 ‘Note about fast-forwards’ 小节。error: 推送一些引用到 ‘http://git…com.cn/zhjg/umc_v2.git’ 失败。存在冲突,需要先拉取远程代码(会自动合并)—> 查看状态 —> 解决冲突 —> 重新添加、提交。提示:更新被拒绝,因为远程仓库包含您本地尚不存在的提交。提示:一个仓库已向该引用进行了推送。再次推送前,您可能需要先整合远程变更。提示:(如 ‘git pull …
a different vulnerability than CVE-2016-4589, CVE-2016-4623, and CVE-2016-4624.是什么意思?
07-25
"a different vulnerability than CVE-2016-4589, CVE-2016-4623, and CVE-2016-4624" 的意思是指一个与 CVE-2016-4589、CVE-2016-4623 和 CVE-2016-4624 不同的漏洞。 CVE(Common Vulnerabilities and Exposures...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值