Linux Kernel ALSA驱动snd-page-alloc本地Proc文件信息泄露漏洞

2007-09-27T00:00:00
ID SSV:2251
Type seebug
Reporter Root
Modified 2007-09-27T00:00:00

Description

BUGTRAQ ID: 25807 CVE(CAN) ID: CVE-2007-4571

Linux Kernel是开放源码操作系统Linux所使用的内核。

Linux系统的ALSA声卡驱动实现上存在漏洞,本地攻击者可能利用此漏洞获取内核内存中的敏感信息。

Linux Kernel在处理多个/proc/driver/snd-page-alloc文件的读操作时存在安全漏洞,sound/core/memalloc.c文件中如下定义了读操作的系统调用snd_mem_proc_read:

484 static int snd_mem_proc_read(char page, char start, off_t off, 485 int count, int eof, void *data) 486 { 487 int len = 0; ... 494 len += snprintf(page + len, count - len, 495 "pages : %li bytes (%li pages per %likB)\n", 496 pages * PAGE_SIZE, pages, PAGE_SIZE / 1024); ... 508 return len; 509 }

在494行调用了snprintf以生成proc文件系统项的输出,如果提供了计数值1,snprintf就会仅向目标缓冲区写入单个字节,但如果有足够空间的话,函数就会返回应写入的字节数。没有设置过eof值,也没有使用过ppos值。

fs/proc/generic.c文件中定义了从proc_file_read调用的这个函数:

51 static ssize_t 52 proc_file_read(struct file file, char __user buf, size_t nbytes, 53 loff_t ppos) 54 { ... 136 n = dp->read_proc(page, &start, ppos, 137 count, &eof, dp->data); ... 155 n -= ppos; 156 if (n <= 0) 157 break; 158 if (n > count) 159 n = count; 160 start = page + ppos; ... 186 n -= copy_to_user(buf, start < page ? page : start, n); ... 193 *ppos += start < page ? (unsigned long)start : n;

在136行从对snd_proc_mem_read函数的调用返回了值n。由于返回值(在单个设备的情况下大约为41)大于所请求的读大小(1),在158行n值被设置为count,之后ppos递增,从start(计算为page + ppos)将n字节拷贝到了用户域。

在之后的用户域读操作中,如果*ppos大于0的话,proc_file_read函数就会拷贝过snd_mem_proc_read写入的页面,导致泄露内核内存。

Linux kernel < 2.6.22.8 临时解决方法:

  • 卸载snd_page_alloc模块
  • 修改/etc/fstab中的加载参数限制对/proc文件系统的访问

厂商补丁:

Linux

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href="http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.22.8.tar.bz2" target="_blank">http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.22.8.tar.bz2</a>