Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。NFSv4 implementation是其中的一个分布式文件系统协议。 Linux系统的ALSA声卡驱动实现上存在漏洞,本地攻击者可能利用此漏洞获取内核内存中的敏感信息。 Linux Kernel在处理多个/proc/driver/snd-page-alloc文件的读操作时存在安全漏洞,sound/core/memalloc.c文件中如下定义了读操作的系统调用snd_mem_proc_read: 484 static int snd_mem_proc_read(char *page, char **start, off_t off, 485 int count, int *eof, void *data) 486 { 487 int len = 0; ... 494 len += snprintf(page + len, count - len, 495 "pages : %li bytes (%li pages per %likB)\n", 496 pages * PAGE_SIZE, pages, PAGE_SIZE / 1024); ... 508 return len; 509 } 在494行调用了snprintf以生成proc文件系统项的输出,如果提供了计数值1,snprintf就会仅向目标缓冲区写入单个字节,但如果有足够空间的话,函数就会返回应写入的字节数。没有设置过*eof值,也没有使用过*ppos值。 fs/proc/generic.c文件中定义了从proc_file_read调用的这个函数: 51 static ssize_t 52 proc_file_read(struct file *file, char __user *buf, size_t nbytes, 53 loff_t *ppos) 54 { ... 136 n = dp->read_proc(page, &start, *ppos, 137 count, &eof, dp->data); ... 155 n -= *ppos; 156 if (n <= 0) 157 break; 158 if (n > count) 159 n = count; 160 start = page +...
Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。NFSv4 implementation是其中的一个分布式文件系统协议。 Linux系统的ALSA声卡驱动实现上存在漏洞,本地攻击者可能利用此漏洞获取内核内存中的敏感信息。 Linux Kernel在处理多个/proc/driver/snd-page-alloc文件的读操作时存在安全漏洞,sound/core/memalloc.c文件中如下定义了读操作的系统调用snd_mem_proc_read: 484 static int snd_mem_proc_read(char *page, char **start, off_t off, 485 int count, int *eof, void *data) 486 { 487 int len = 0; ... 494 len += snprintf(page + len, count - len, 495 "pages : %li bytes (%li pages per %likB)\n", 496 pages * PAGE_SIZE, pages, PAGE_SIZE / 1024); ... 508 return len; 509 } 在494行调用了snprintf以生成proc文件系统项的输出,如果提供了计数值1,snprintf就会仅向目标缓冲区写入单个字节,但如果有足够空间的话,函数就会返回应写入的字节数。没有设置过*eof值,也没有使用过*ppos值。 fs/proc/generic.c文件中定义了从proc_file_read调用的这个函数: 51 static ssize_t 52 proc_file_read(struct file *file, char __user *buf, size_t nbytes, 53 loff_t *ppos) 54 { ... 136 n = dp->read_proc(page, &start, *ppos, 137 count, &eof, dp->data); ... 155 n -= *ppos; 156 if (n <= 0) 157 break; 158 if (n > count) 159 n = count; 160 start = page + *ppos; ... 186 n -= copy_to_user(buf, start < page ? page : start, n); ... 193 *ppos += start < page ? (unsigned long)start : n; 在136行从对snd_proc_mem_read函数的调用返回了值n。由于返回值(在单个设备的情况下大约为41)大于所请求的读大小(1),在158行n值被设置为count,之后*ppos递增,从start(计算为page + *ppos)将n字节拷贝到了用户域。 在之后的用户域读操作中,如果*ppos大于0的话,proc_file_read函数就会拷贝过snd_mem_proc_read写入的页面,导致泄露内核内存。
