Linux内核SCTP协议漏洞分析与复现
发布时间 2019-05-30Linux内核SCTP协议实现中存在一个安全漏洞CVE-2019-8956(CNVD-2019-06182、CNNVD-201902-823),可以导致拒绝服务。该漏洞存在于net/sctp/socket.c中的sctp_sendmsg()函数,该函数在处理SENDALL标志操作过程时存在use-after-free漏洞。
SCTP协议简介
流控制传输协议(Stream Control Transmission Protocol,SCTP)是一种可靠的传输协议,它在两个端点之间提供稳定、有序的数据传递服务(非常类似于 TCP),并且可以保护数据消息边界(例如 UDP)。与TCP和 UDP不同,SCTP 是通过多宿主(Multi-homing)和多流(Multi-streaming)功能提供这些收益的,这两种功能均可提高可用性。
漏洞原理
漏洞补丁代码如下,补丁代码将list_for_each_entry换成了list_for_each_entry_safe。
宏定义list_for_each_entry_safe中添加了一个n,该n用来存放pos指向的节点的下一个节点位置。使用该宏可以对链表进行删除操作。
行2038,从msg中解析出sinfo;行2043,获取到sflags。
行2055,判断sflags是否为SCTP_SENDALL。如果存在,进入list_for_each_entry循环中,依次遍历ep->asocs链表。这里的asocs就是存放多个association连接的链表。SCTP_SENDALL标志代表向asocs链表中的所有association连接发送数据包。所以asocs链表中至少要存在一个association节点。进入sctp_sendmsg_check_sflags函数后,该函数实现如下:
首先,检查asoc是否处于CLOSED状态,检查asoc是否处于监听状态,检查asoc是否shutdown。
接下来,检查sflags是否为SCTP_ABORT,根据rfc文档可知ABORT的用法以及ABORT指令的数据包格式。SCTP_ABORT标志代表中止一个association连接,这个也是导致漏洞的关键。
行1863,sctp_make_abort_user构造ABORT指令的chunk;行1868,调用sctp_primitive_ABORT发送中止一个association的chunk。
通过调试可知调用sctp_sf_do_9_1_prm_abort函数进行ABORT操作,该函数将会进行如下操作:
添加一条删除asoc的commands,然后返回SCTP_DISPOSITION_ABORT。正常返回,继续分析,返回到sctp_do_sm函数中。
行1188正常返回后,行1191调用sctp_side_effects函数根据状态机对应的状态进行操作。
行1246,将asoc置空,ABORT标志代表中止一个association操作结束。从sctp_sendmsg_check_sflags函数返回到sctp_sendmsg函数中,宏list_for_each_entry循环中遍历获取第一个asoc节点时,进入sctp_sendmsg_check_sflags函数将第一个asoc置空,然后再进行遍历后面节点时,就发生了零地址引用导致漏洞发生。
漏洞复现
将sflags设置成SENDALL | ABORT,保证进入list_for_each_entry循环和sctp_sendmsg_check_sflags()函数即可。在4.20内核下验证如下。由于该漏洞是NULL-PTR deref,即是零地址解引用,无法进一步利用。
修复建议
该漏洞影响Linux Kernel 4.19.x和4.20.x,建议更新到version 4.20.8 或4.19.21。补丁链接如下:https://git.kernel.org/linus/ba59fb0273076637f0add4311faa990a5eec27c0