【KASAN】stack-out-of-bounds问题定位

于 2024-08-27 06:59:00 发布
阅读量1.1k 收藏 19
点赞数 21
文章标签: KASAN kernel memory
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xqjcool/article/details/141578391
版权

【KASAN】stack-out-of-bounds问题定位

起因

我们最近在定位一个棘手的内存问题, 常规手段没能奏效,于是出了个开启KASAN的debug image,运行在测试环境,希望能帮助定位问题。
运行后帮我们发现了几个存在很久的代码问题。

问题现象

首先时发现一例栈越界的问题。log如下:

Aug 24 02:21:56 Test-Dev kern.err kernel: [85593.844504] ==================================================================
Aug 24 02:21:56 Test-Dev kern.err kernel: [85593.930986] BUG: KASAN: stack-out-of-bounds in nis_compare+0x2db/0x360
Aug 24 02:21:56 Test-Dev kern.err kernel: [85594.004927] Read of size 4 at addr ffff8882f323f510 by task balanced/27501
Aug 24 02:21:56 Test-Dev kern.err kernel: [85594.083025]
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100815] CPU: 2 PID: 27501 Comm: balanced Tainted: G           O    4.14 #12
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100816] Hardware name: GIGABYTE MN32-EC1-F5/MN32-EC1-F5, BIOS F03 06/04/2019
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100817] Call Trace:
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100820]  dump_stack+0x57/0x6d
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100823]  print_address_description+0x74/0x238
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100825]  ? nis_compare+0x2db/0x360
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100827]  kasan_report_error.cold+0x8a/0x1cd
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100829]  __asan_report_load4_noabort+0x70/0x80
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100831]  ? nis_compare+0x2db/0x360
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100832]  ? nis_find_via_gw+0x180/0x180
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100833]  nis_compare+0x2db/0x360
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100835]  ? nis_find_via_gw+0x180/0x180
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100837]  foreach_net_only+0xab/0x100
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100838]  filter_foreachate_cleanup+0x179/0x270
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100840]  ? filter_alloc_hashtable+0x130/0x130
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100841]  ? nis_find_via_gw+0x180/0x180
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100843]  filter_iterate_cleanup_net+0xb6/0x110
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100844]  ? clear_all_conntrack_timeout+0xd0/0xd0
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100845]  ? nis_find_via_gw+0x180/0x180
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100848]  ? rtnl_notify+0x8e/0xe0
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100849]  ? rtmsg_fib+0x232/0x490
Aug 24 02:21:56 Test-Dev kern.warn kernel: [85594.100851]  nis_tbl_remove_conn_handle+0x88/0x90
//中间部分省略
Aug 24 02:21:56 Test-Dev kern.err kernel: [85594.118799] The buggy address belongs to the page:
Aug 24 02:21:56 Test-Dev kern.emerg kernel: [85594.176106] page:ffffea000bcc8fc0 count:0 mapcount:0 mapping:          (null) index:0x0
Aug 24 02:21:56 Test-Dev kern.emerg kernel: [85594.271890] flags: 0x8000000000000000()
Aug 24 02:21:56 Test-Dev kern.alert kernel: [85594.317754] raw: 8000000000000000 0000000000000000 0000000000000000 00000000ffffffff
Aug 24 02:21:56 Test-Dev kern.alert kernel: [85594.410420] raw: 0000000000000000 0000000100000001 ffff88842d003180 0000000000000000
Aug 24 02:21:56 Test-Dev kern.alert kernel: [85594.503083] page dumped because: kasan: bad access detected
Aug 24 02:21:56 Test-Dev kern.err kernel: [85594.569745]
Aug 24 02:21:56 Test-Dev kern.err kernel: [85594.587533] Memory state around the buggy address:
Aug 24 02:21:56 Test-Dev kern.err kernel: [85594.644836]  ffff8882f323f400: 00 00 00 00 00 00 00 00 00 00 00 f1 f1 f1 f1 00
Aug 24 02:21:56 Test-Dev kern.err kernel: [85594.731259]  ffff8882f323f480: 00 00 f3 f3 f3 f3 f3 00 00 00 00 00 00 f1 f1 f1
Aug 24 02:21:56 Test-Dev kern.err kernel: [85594.817680] >ffff8882f323f500: f1 04 f3 f3 f3 00 00 00 00 00 00 00 00 00 00 00
Aug 24 02:21:56 Test-Dev kern.err kernel: [85594.904107]                          ^
Aug 24 02:21:56 Test-Dev kern.err kernel: [85594.948932]  ffff8882f323f580: 00 00 00 00 00 00 00 00 00 00 f1 f1 f1 f1 f1 f1
Aug 24 02:21:56 Test-Dev kern.err kernel: [85595.035352]  ffff8882f323f600: 00 00 00 00 00 f3 f3 f3 f3 f3 00 00 00 00 00 00
Aug 24 02:21:56 Test-Dev kern.err kernel: [85595.121776] ==================================================================

问题分析

首先我们了解到这是一个栈越界问题,表明访问栈上的数据时越界了。触发时的函数是nis_compare。
但这不是说nis_compare函数的栈越界了,也有可能是其他函数的栈。

需要仔细检查 nis_compare都访问了那些变量,那些可能存在越界访问。通过反汇编分析,目标锁定在入参 arg上。

struct nis_compare_data {
        int table;
        int outif;
        unsigned int gateway;
};

static int nis_compare(struct nf_conn* ct, void* arg)
{       
        nf_conn_nis *nis = NULL; 
        struct nis_compare_data* data = (struct nis_compare_data*)arg;
//部分省略 
        if (data->gateway == nis->gataway)
//部分省略
        
        return 0;
}

会不会这个arg是栈上的结构,然后在这里转为 nis_compare_data 导致访问越界?

追溯 arg

向前追溯一直到nis_tbl_remove_conn_handle函数, 这个函数将一个local整型的变量table的地址传给函数filter_iterate_cleanup_net,最终作为arg传给nis_compare。
明显这会导致访问data->gateway时越界。

PS:这里对新手有点迷惑性,入参table不是上一个函数传过来的么,怎么会在栈上?由于需要使用table地址作为参数,系统会把table存在栈上,再把栈地址传给filter_iterate_cleanup_net。

int nis_tbl_remove_conn_handle(struct net* net, int table)
{
//部分省略
                filter_iterate_cleanup_net(net, nis_compare, (void*)&table, 0, 0);
//部分省略

查看反汇编

从返回便上,我们可以看到开启kasan后,会在栈上占用更多空间,同时也在shadow region中对栈变量区域进行标记。

0xf1表示左边界,0xf3表示右边界。栈区内存大致如下:
可以看到kasan用左右边界将局部变量保护起来了。一旦访问到0xf1或0xf3,即视为越界。04代便这8个byte只有4个byte可读,因为table是整型4个字节。
如果把tableparam的地址当作 nis_compare_data去访问,那么我们访问结构中的gateway,因为对应shadow region这里是0xf3,因此触发kasan告警。

shadown    	    stack mem
region
			|       rbp        |
			|       rbx        |
|f3|		|                  |
|f3|		|                  |
|f3|		|                  |	|gatway	|
|04|		|  table param     |	|table	|outif	|
|f1|		|                  |
|f1|		|0xffffffff81b99b10|
|f1|		|0xffffffff8298022e|
|f1|		|0x41b58ab3        |

ffffffff81b99b10 <nis_tbl_remove_conn_handle>:
ffffffff81b99b10:       e8 8b 7c 46 00          callq  ffffffff820017a0 <__fentry__>
ffffffff81b99b15:       48 b8 00 00 00 00 00    movabs $0xdffffc0000000000,%rax
ffffffff81b99b1c:       fc ff df
ffffffff81b99b1f:       55                      push   %rbp
ffffffff81b99b20:       48 89 e5                mov    %rsp,%rbp
ffffffff81b99b23:       53                      push   %rbx
ffffffff81b99b24:       48 8d 5d b8             lea    -0x48(%rbp),%rbx
ffffffff81b99b28:       48 c1 eb 03             shr    $0x3,%rbx
ffffffff81b99b2c:       48 01 d8                add    %rbx,%rax
ffffffff81b99b2f:       48 83 ec 40             sub    $0x40,%rsp
ffffffff81b99b33:       48 c7 45 b8 b3 8a b5    movq   $0x41b58ab3,-0x48(%rbp)
ffffffff81b99b3a:       41
ffffffff81b99b3b:       48 c7 45 c0 2e 02 98    movq   $0xffffffff8298022e,-0x40(%rbp)
ffffffff81b99b42:       82
ffffffff81b99b43:       48 c7 45 c8 10 9b b9    movq   $0xffffffff81b99b10,-0x38(%rbp)
ffffffff81b99b4a:       81
ffffffff81b99b4b:       c7 00 f1 f1 f1 f1       movl   $0xf1f1f1f1,(%rax)		//kasan magic
ffffffff81b99b51:       c7 40 04 04 f3 f3 f3    movl   $0xf3f3f304,0x4(%rax)	//kasan magic
ffffffff81b99b58:       89 75 d8                mov    %esi,-0x28(%rbp)			//table param

对比验证告警中的buggy address

“Read of size 4 at addr ffff8882f323f510 by task balanced/27501”, 意思是在ffff8882f323f510地址上读取4个byte,也就是一个整型的值。
让我们再次看一下buggy address。可以看到指示的位置刚好是04上面的f3。

后记

KASAN确实是个好工具,但是开启后性能消耗太大。
所以在测试环境可以使用,生产环境不能使用。

gcc:内存问题检查选项 -fsanitize; asan
mzhan017的博客
10-23 2482
如果可以用这个工具,其实很大程度上方便了开发者做问题调试,不需要额外再学习其他工具。这个编译选项,附带有好多选项值,都非常的有用;这里先说address;关于内存地址的检查;其他的可以自行查阅gcc 帮助文档,或者github的sanitizers库说明。AddressSanitizer是一个快速内存错误检查器。这个选项可以打开这个检查器。为了检查越界访问和UAF问题,装备了内存访问指令。那到底装备了什么指令呢?
Linux内核内存检测工具KASan
SweeNeil
12-01 7160
一、简介 KASan,全称Kernel Address Sanitizer,它是一个动态检测内存错误的工具,主要功能是检查内存越界访问和使用已释放的内存等问题KASan 集成在 Linux 内核中,随 Linux 内核代码一起发布,并由内核社区维护和发展。本文简要介绍 KASan 的原理及使用方法。 二、原理与使用 2.1 KASan原理 KASan利用额外的内存标记可用内存的状态,这部分额外的内存被称作shadow memory(影子区)。在我们Linux内核中有page结构体(页描述符),用来标识物理
案例分析(二)内存越界检测工具kasan
weixin_39247141的博客
10-16 3389
KASAN简介   KasanKernel Address Sanitizer 的缩写,它是一个动态检测内存错误的工具,主要功能是检查内存越界访问和使用已释放的内存等问题。在Linux-4.0中Kasan 集成在 Linux 内核中,随 Linux 内核代码一起发布,并由内核社区维护和发展。但知道Linux-4.4版本才开始之初ARM64。此次采用的是Linux-4.9版本做实验。 KASAN原理   Kasan 的原理是利用“额外”的内存来标记那些可以被使用的内存的状态。这些做标记的区域被称为影子区
KASAN解决内核内存越界访问,释放后使用问题
paul1994的博客
10-11 435
KASAN是一个动态检测内存错误的工具。KASAN可以检测全局变量、栈、堆分配的内存发生越界访问 "out-of-bounds" 和 释放后访问 "use-after-free"等问题,但是不能解决内存泄漏问题
Linux内存管理 (22)内存检测技术(slub_debug/kmemleak/kasan)
铁匠的七寸宫
10-29 1940
Linux常见的内存访问错误有: 越界访问(out of bounds) 访问已经释放的内存(use after free) 重复释放 内存泄露(memory leak) 栈溢出(stack overflow) 不同的工具有不同的侧重点,本章主要从slub_debug、kmemleak、kasan三个工具介绍。 kmemleak侧重于内存泄露问题发现。 slub_debug和kasan有一定的重复,部分slub_debug问题需要借助slabinfo去发现;kasan更快,所有问题独立上
内存管理三 内核内存检测KASAN
热门推荐
frank_zyp的博客
09-07 1万+
一、简介:         KasanKernel Address Sanitizer 的缩写,它是一个动态检测内存错误的工具,主要功能是检查内存越界访问和使用已释放的内存等问题KASAN可以检测的内存异常包括:slab-out-of-bounds/user-after-free/stack-out-of-bounds/global-out-of-bounds等。 (1)环境要求: ...
Linux内存管理 (22)内存检测技术(slub_debug/kmemleak/kasan)【转】
weixin_34245749的博客
03-21 507
转自:https://www.cnblogs.com/arnoldlu/p/8568090.html 专题:Linux内存管理专题 关键词:slub_debug、kmemleak、kasan、oob、Redzone、Padding。 Linux常见的内存访问错误有: 越界访问(out of bounds) 访问已经释放的内存(use after free) 重复释放 ...
解释一下KASAN: stack-out-of-bounds Read in unwind_next_frame
04-19
其中,stack-out-of-bounds Read in unwind_next_frame是指在调用unwind_next_frame函数时,程序尝试从栈中读取已经越界的内存。这种错误可能导致程序崩溃或者安全漏洞,因此KASAN会通过查找和标记这种错误来提高...
kasan排查kernel内存越界示例(linux5.18.11)
最新发布
geshifei的博客
03-07 1458
参考资料:1,内核源码目录中的Documentation\dev-tools\kasan.rst2,
深入了解Linux内存检测技术
m0_74282605的博客
03-16 669
----------------------------------虽然分配32字节,但是对应分配了64字节。在test_code/slub_debug目录下执行make.sh,将slub.ko/slub2.ko/slub3.ko放入data。重复释放可以被slub_debug识别。kasan可以检测到越界访问、访问已释放内存、重复释放等类型错误,其中重复释放借助于slub_debug。kasan是一个动态检查内存错误的工具,可以检查内存越界访问、使用已释放内存、重复释放以及栈溢出。
ASAN内存校验器
Starr
04-03 5896
文章目录1. 简介ASAN原理2. DemoUAFHeapOutOfBoundsStackOutOfBoundsuseAfterReturnuseAfterScopec++静态初始化顺序问题内存泄露3. 其它参考文章 1. 简介 Windows wdk提供了verifier校验器,用于排查内存泄漏等不好发现和定位问题。 Linux上的校验器就比较多了,如: Dr.Memory, 检测未初始化的内存访问、double free、use after free 等错误; Mudflap, 检测指针的解引用,静
内存管理 内核内存检测KASAN
feiffer·hu的博客
05-12 1018
一、简介:         KasanKernel Address Sanitizer 的缩写,它是一个动态检测内存错误的工具,主要功能是检查内存越界访问和使用已释放的内存等问题KASAN可以检测的内存异常包括:slab-out-of-bounds/user-after-free/stack-out-of-bounds/global-out-of-bounds等。 ...
内存问题定位,那是因为你没用ASAN
华为云官方博客
08-05 1883
ASAN全称:Address Sanitizer,google发明的一种内存地址错误检查器。目前已经被集成到各大编译器中。
宋牧春: Linux内核slab内存的越界检查——SLUB_DEBUG
Linux阅码场
02-08 7972
本文简介:SLAB内存分配器-SLUB的DEBUG功能,如何帮忙检测内存越界(out-of-bounds)和访问已经释放的内存(use-after-free)。本文目录:1. 前言2. SLUB DEBUG功能3. object layout4. SLUB DEBUG原理5. slabinfo作者简介:宋牧春,linux内核爱好者,2017年6月本科毕业于江苏大学。现就职于一家手机研发公司,任职B
kasan bug 已经相应log
weixin_46485500的博客
02-20 1090
kasan bug log
内存管理--KASAN
程序猿Ricky的日常干货
01-09 3700
KASAN是用于内存debug使用的一种机制,通过内核中使能该选项: CONFIG_KASAN = y 它的原理就是,通过内存中分配一块专用内存为“影子内存”(shadow memory)用来标记系统可以用内存的状态,类似于内核中使用struct page结构体,只不过影子内存比struct page更加浪费内存,它与可用内存的比例为1:8。因为影子内存是把内存按照8 Byte来标记,标志位如...
KASAN实现原理
weixin_34151004的博客
02-21 1051
1. 前言 KASAN是一个动态检测内存错误的工具。KASAN可以检测全局变量、栈、堆分配的内存发生越界访问等问题。功能比SLUB DEBUG功能齐全并且支持实时检测。越界访问的严重性和危害性通过我之前的文章(SLUB DEBUG技术)应该有所了解。正是由于SLUB DEBUG缺陷,因此我们需要一种更加强大的检测工具。难道你不想吗?KASAN就是其中一种。KASAN的使用真的很简单。但是我是一个...
ubuntu内核编译与Kasan初探
water_likly的博客
04-01 1505
最近在复现一篇论文的时候发现linux内核的强大之处了,就简单的学习了下关于内核的一些知识,其中主要用到了Kasan这个检测UAF漏洞的工具(严格来说只能是内核编译插桩),本以为很简单,结果搞了好长时间,鉴于目前这方面资料很少,设置过程也缺乏,故将这个设置过程记录下来,以便交流(本文仅限学术交流,严谨转载) 一 内核编译 内核编译过程主要参考了《鸟哥的Linux私房菜》,以及https://w...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浮沉飘摇

码字不易,打赏随意。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值