NetBSD IRET通用保护错误处理本地权限提升漏洞

BUGTRAQ ID: 36430
CVE(CAN) ID: CVE-2009-2793

NetBSD是一款免费开放源代码的UNIX性质的操作系统。

在Intel架构上，操作系统内核完成了对中断或异常的服务后通常会使用iret返回到用户态。iret指令会恢复执行继续所需的上下文，如代码段、指令指针、标记等。在受保护模式中iret会分为两个不同的阶段执行，分别为提交前阶段（pre-commit，权限级别改变之前）和提交后阶段（post- commit，权限级别改变后）。可在以下伪代码中找到提交点：

IF new mode != 64-Bit Mode
THEN
IF tempEIP is not within code segment limits
THEN #GP(0); FI;
EIP <- tempEIP;
ELSE (* new mode = 64-bit mode *)
IF tempRIP is non-canonical
THEN #GP(0); FI;
RIP <- tempRIP;
FI;
CS <- tempCS; // This is the commit point (privilege switch)
EFLAGS (CF, PF, AF, ZF, SF, TF, DF, OF, NT) <- tempEFLAGS;

当处理器在处理异常时，会出现两种情况：

• 与中断的过程相同的权限级别执行处理器过程，不会发生栈切换。
• 以不同的权限级别执行处理器过程，因此会发生栈切换。

如果发生了栈切换，所生成的栈帧会不同，因为处理器要保存中断过程的栈。当iret返回到不同的权限级别时，出现失败时的行为会取决于运算当前所处的阶段：提交前失败不会导致栈切换，而提交后失败会导致栈切换，因此生成不同的陷阱帧。

对于NetBSD，内核栈会由于这个漏洞而变得不同步，这可能允许攻击者获得权限提升。

NetBSD <= 5.0.1
厂商补丁：

NetBSD

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.netbsd.org/Security/