苹果黑客技术:对 libssh2 整数溢出缝隙 (CVE-2019-17498)的剖析
0x01 缝隙发掘
在2019年3月18日,Canonical Ltd.的Chris Coulson披露了libssh2中的九个缝隙(CVE-2019-3855至CVE-2019-3863)。这些缝隙已在libssh2 v1.8.1中修正。其时,我的搭档Pavel Avgustinov注意到,修正缝隙的陈述在LGTM上引进了多个新告警。这些告警是因为像下面的代码:
if((p_len = _libssh2_get_c_string(&buf, &p))
问题出现在_libssh2_get_c_string回来 -1是一个error code,可是p_len没有符号,因而过错条件将被疏忽。libssh2团队现已在后面的的陈述中修正了这些问题,可是它促进我们细心检查代码以检查其包含显着过错的缝隙。我们很快发现了这个用于鸿沟检查的函数:
int _libssh2_check_length(struct string_buf *buf, size_t len)
{
return ((int)(buf->dataptr - buf->data) len - len)) ? 1 : 0;
}
此函数的问题在于强制转化int或许会溢出。左边的强制转化是安全的,因为的字段buf是受信赖的值,可是右侧的强制转化是不安全的,因为的值len是不受信赖的。创立缝隙运用exp并非难事,该缝隙运用使值len大于绕过此溢出检查buf->len + 0x80000000。可以在GitHub上找到PoC 。
我后来了解到,该问题_libssh2_check_length是在1.8.2版发布后在首要开发分支上引进的,因而缝隙规模检查在1.8.2版中不存在。不幸的是,版别1.8.2不包含任何鸿沟检查,因而PoC依然有用。在1.8.2版中,缝隙的源方位是kex.c:1675。问题在于其间p_len包含一个不受信赖的值,因而后续的读取s或许会超出规模。因为_libssh2_check_length在1.8.2版中不存在,所以不需求将值p_len大于0x80000000触发缝隙。这意味着较小的值len可以触发越界读取,该缝隙更有或许被运用来完成长途信息走漏。
0x02 negative error codes 转化为 unsigned
当我和我的搭档正在检查缝隙补丁陈述时,我们注意到一种常见的过错模式,其间将negative error回来值强制转化为unsigned。这是一个十分简略犯的过错,并且它没有被编译器正告所](https://godbolt.org/z/CvqwDm)捕获。所以我写了这个简略的查询来查找缝隙实例:
import cpp
import semmle.code.cpp.dataflow.DataFlow
import semmle.code.cpp.range *** ysis.SimpleRangeAnalysis
from Function f, FunctionCall call, ReturnStmt ret, DataFlow::Node source, DataFlow::Node sink
where call.getTarget() = f
and ret.getEnclosingFunction() = f
and ret.getExpr().getValue().toInt()
查询代码如下:
r_len = _libssh2_get_c_string(&buf, &r);
if(r_len
该查询会回来负整数常量的函数。例如,_libssh2_get_c_string在773行上实行此操作,然后,它将查找对该函数的调用,这些调用回来值并将其转化为无符号类型。
0x03 触发缝隙
缝隙的源方位是packet.c:480:
if(message_len
值datalen不受信赖,因为它是由长途SSH服务器控制的。例如,假如运用datalen == 11,则减法将溢出并且的鸿沟检查message_len无效。message_len是一个32位无符号整数,它也由长途SSH服务器控制,因而这或许导致在第485行上越界读取:
language_len =
_libssh2_ntohu32(data + 9 + message_len);
越界读取一般只会导致分段过错,可是LIBSSH2_DISCONNECT在 第499行的调用中也有或许导致其他类型的问题:
if(session->ssh_msg_disconnect) {
LIBSSH2_DISCONNECT(session, reason, message,
message_len, language, language_len);
}
取决于libssh2库的运用 *** ,因为session->ssh_msg_disconnect是一个回调函数,默许状况下为null,但可以由该库的用户设置(经过调用libssh2_session_callback_set)。
我编写在sshd_config文件中有两个参数,分别是ClientAliveInterval和ClientAliveCountMax。 了一个 缝隙PoC ,其间歹意SSH服务器运用datalen == 11和回来断开衔接音讯message_len == 0x41414141,会导致libssh2因分段过错而溃散。
0x04 libss
来源:佳米学堂-专注于新媒体运营干货分享网址:http://jiayuan.021021.com微信:2451976 随着互联网的不断发展, 网络营销方式层出不穷,而最近不少培训机构也纷纷推出了社群...
俗话说得好“酒是粮食精,越喝越年青”,虽然这句话不认真细致。可是也表明了,我们国人中酒的钟爱。殊不知如今目前市面上大部分白酒是液态法白酒,也就是酒精勾兑的乙醇酒。 因此制酒大史兄,想教酒鬼们用...
本文目录一览: 1、谁有黑客帝国的资源 2、求好心人给黑客帝国3BD中英双字1280高清种子下载,跪谢 3、黑客帝国一二三的全部高清种子,双字幕 4、求黑客帝国电影,百度云种子,带中文字幕...
重装系统后电脑上不了网如何解决呢?导致重装电脑上不了网的重要原因是网卡驱动安装不正确或网络DNS设置不当所造成的。针对新装电脑无法上网的情况,我们可以通过以下方法来解决。 目前Windows7以上版...
. 乙型流感病毒在2018年肆虐了很久,现在还是高发期,对于我们妈妈们来说,孩子的健康是放在首位的,其实我们可以在日常生活中来预防乙型流感病毒的发生,友谊长存本文将为大家分享如何从饮食方面来预防乙型...
中新社休斯敦1月20日电 20日,当选总统拜登开始就职典礼之前,美国总统特朗普抵达他位于佛罗里达州的私人俱乐部“海湖庄园”,结束了他的总统任期。他成为自1869年以来首位缺席就职典礼的卸任总统。...