Linux Kernel ALSA驱动snd-page-alloc本地Proc文件信息泄露漏洞

BUGTRAQ ID: 25807
CVE(CAN) ID: CVE-2007-4571

Linux Kernel是开放源码操作系统Linux所使用的内核。

Linux系统的ALSA声卡驱动实现上存在漏洞，本地攻击者可能利用此漏洞获取内核内存中的敏感信息。

Linux Kernel在处理多个/proc/driver/snd-page-alloc文件的读操作时存在安全漏洞，sound/core/memalloc.c文件中如下定义了读操作的系统调用snd_mem_proc_read：

484 static int snd_mem_proc_read(char *page, char **start, off_t off,
485 int count, int *eof, void *data)
486 {
487 int len = 0;
…
494 len += snprintf(page + len, count - len,
495 "pages : %li bytes (%li pages per %likB)\n",
496 pages * PAGE_SIZE, pages, PAGE_SIZE / 1024);
…
508 return len;
509 }

在494行调用了snprintf以生成proc文件系统项的输出，如果提供了计数值1，snprintf就会仅向目标缓冲区写入单个字节，但如果有足够空间的话，函数就会返回应写入的字节数。没有设置过eof值，也没有使用过ppos值。

fs/proc/generic.c文件中定义了从proc_file_read调用的这个函数：

51 static ssize_t
52 proc_file_read(struct file *file, char __user *buf, size_t nbytes,
53 loff_t *ppos)
54 {
…
136 n = dp->read_proc(page, &start, *ppos,
137 count, &eof, dp->data);
…
155 n -= *ppos;
156 if (n <= 0)
157 break;
158 if (n > count)
159 n = count;
160 start = page + *ppos;
…
186 n -= copy_to_user(buf, start < page ? page : start, n);
…
193 *ppos += start < page ? (unsigned long)start : n;

在136行从对snd_proc_mem_read函数的调用返回了值n。由于返回值（在单个设备的情况下大约为41）大于所请求的读大小（1），在158行n值被设置为count，之后*ppos递增，从start（计算为page + *ppos）将n字节拷贝到了用户域。

在之后的用户域读操作中，如果*ppos大于0的话，proc_file_read函数就会拷贝过snd_mem_proc_read写入的页面，导致泄露内核内存。

Linux kernel < 2.6.22.8
临时解决方法：

• 卸载snd_page_alloc模块
• 修改/etc/fstab中的加载参数限制对/proc文件系统的访问

厂商补丁：

Linux

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.22.8.tar.bz2” target=“_blank”>http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.22.8.tar.bz2</a>