AFFLIB多个格式串处理漏洞

2007-04-29T00:00:00
ID SSV:1710
Type seebug
Reporter Root
Modified 2007-04-29T00:00:00

Description

AFFLIB是用于操作高级取证格式(AFF)文件的开源函数库。

AFFLIB的一些命令行工具实现上存在格式串处理漏洞,本地攻击者可能利用此漏洞提升自己的权限。

这些工具以格式串参数向warn()和err()调用传输一些命令行参数。如果攻击者能够影响这些命令行参数的话,就可能导致执行任意指令。

  • s3格式串注入 *

文件:lib/s3.cpp 行数:207

err()调用中的一个命令行参数用作了格式串,如果攻击者能够影响名称的话就可以导致格式串注入漏洞。192-207行说明了这个问题:

void s3_cp(const char *fname,string key) { struct s3headers meta[2] = {{0,0},{0,0}}; char buf[64];

if(opt_flag){
snprintf(buf,sizeof(buf),"%d",opt_flag);
meta[0].name = AMAZON_METADATA_PREFIX "arg";
meta[0].value = buf;
}

/* Read from fname into a buffer.
 * Note that we do this with read, so that we can read from stdin
 */
FILE *f = fopen(fname,"r");
if(!f) err(1,fname);

如果s3二进制程序为setuid/setgid,或s3程序在CGI脚本中执行的话,攻击者就可以利用这个漏洞。

  • afconvert格式串注入 *

文件:tools/afconvert.cpp 行数:226、263和305

3个err()调用中的一个命令行参数用作了格式串,如果攻击者能够影响名称的话就可以导致格式串注入漏洞。

  • afcopy格式串注入 *

文件:tools/afcopy.cpp 行数:202和250

2个err()调用中的一个命令行参数用作了格式串,如果攻击者能够影响名称的话就可以导致格式串注入漏洞。

  • afinfo格式串注入 *

文件:tools/afinfo.cpp 行数:584

err()调用中的一个命令行参数用作了格式串,如果攻击者能够影响名称的话就可以导致格式串注入漏洞。

  • aimage格式串注入 *

文件:aimage/aimage.cpp 行数:577

err()调用中的一个命令行参数用作了格式串,如果攻击者能够影响名称的话就可以导致格式串注入漏洞。548-577行说明了这个问题:

int getlock(class imager im) { / If the file exists and the PID in the file is running, * can't get the lock. / char lockfile[MAXPATHLEN]; sprintf(lockfile,"/tmp/aimge.%s.lock",im->infile); if(access(lockfile,F_OK)==0){ / Lockfile exists. Get it's pid / char buf[1024]; FILE f = fopen(lockfile,"r"); if(!f){ perror(lockfile); // can't read lockfile... return -1; } fgets(buf,sizeof(buf),f); buf[sizeof(buf)-1] = 0; int pid = atoi(buf); if(checkpid(pid)==0){ / PID is not running; we can delete the lockfile / if(unlink(lockfile)){ err(1,"could not delete lockfile %s: ",lockfile); } } / PID is running; generate error / errx(1,"%s is locked by process %d\n",im->infile,pid); } FILE *f = fopen(lockfile,"w"); if(!f){ err(1,lockfile);

由于用户可以指定im->infile值,因此lockfile字符串可能包含有格式串字符。如果aimage二进制程序为setuid/setgid或aimage程序在CGI脚本中执行的话,就可能导致这个漏洞。

  • imager格式串注入 *

文件:aimage/imager.cpp 行数:265

err()调用中的一个命令行参数用作了格式串,如果攻击者能够影响名称的话就可以导致格式串注入漏洞。

  • afxml格式串注入 *

文件:tools/afxml.cpp 行数:101

err()调用中的一个命令行参数用作了格式串,如果攻击者能够影响户名称的话就可以导致格式串注入漏洞。

AFFLIB 2.2.0 - 2.2.8 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href="http://www.afflib.org/index.php" target="_blank">http://www.afflib.org/index.php</a>