CVE-2016-7912

背景介绍

在内核USB驱动中,进行异步读取或写入时,调用ki_complete(),会提前释放kiocb结构体,从而造成UAF漏洞,但经过分析,发现无法利用此漏洞进行攻击。

漏洞影响

1.影响版本链接: https://www.securityfocus.com/bid/94197

漏洞详情

以4.5.2版本内核为例进行分析

相关结构体如下:

struct aio_kiocb {
    struct kiocb        common;

    struct kioctx       *ki_ctx;
    kiocb_cancel_fn     *ki_cancel;

    struct iocb __user  *ki_user_iocb;  /* user's aiocb */
    __u64           ki_user_data;   /* user's data for completion */

    struct list_head    ki_list;    /* the aio core uses this
                         * for cancellation */

    /*
     * If the aio_resfd field of the userspace iocb is not zero,
     * this is the underlying eventfd context to deliver events to.
     */
    struct eventfd_ctx  *ki_eventfd;
};

struct kiocb {
    struct file     *ki_filp;
    loff_t          ki_pos;
    void (*ki_complete)(struct kiocb *iocb, long ret, long ret2);
    void            *private;
    int         ki_flags;
};

漏洞代码如下:

/* /drivers/usb/gadget/function/f_fs.c/ */
static void ffs_user_copy_worker(struct work_struct *work)
{
    struct ffs_io_data *io_data = container_of(work, struct ffs_io_data,
                           work);
    int ret = io_data->req->status ? io_data->req->status :
                     io_data->req->actual;

    if (io_data->read && ret > 0) {
        use_mm(io_data->mm);
        ret = copy_to_iter(io_data->buf, ret, &io_data->data);
        if (iov_iter_count(&io_data->data))
            ret = -EFAULT;
        unuse_mm(io_data->mm);
    }

    io_data->kiocb->ki_complete(io_data->kiocb, ret, ret);//        (1)

    if (io_data->ffs->ffs_eventfd &&
        !(io_data->kiocb->ki_flags & IOCB_EVENTFD))
        eventfd_signal(io_data->ffs->ffs_eventfd, 1);

    usb_ep_free_request(io_data->ep, io_data->req);

    io_data->kiocb->private = NULL;//                    (2)
    if (io_data->read)
        kfree(io_data->to_free);
    kfree(io_data->buf);
    kfree(io_data);
}

其中在(1)处调用函数为:static void aio_complete(struct kiocb *kiocb, long res, long res2),其实现大体如下(忽略掉无关代码):

static void aio_complete(struct kiocb *kiocb, long res, long res2)
{
    struct aio_kiocb *iocb = container_of(kiocb, struct aio_kiocb, common);//(3)
    //无关代码省略
    kiocb_free(iocb);//(4)
    //无关代码省略
}

可以看出,在(4)处,释放掉了kiocb结构,而在(2)处,又对其进行写操作.造成UAF漏洞.

但是我们不能通过提前布局释放掉的kiocb结构,进行利用。因为在这之后,不能通过其更改CPU的执行路径,进而发起攻击。也无法通过其进行任意内存读写。所以无法进行漏洞利用。但是可以利用条件竞争,破坏下一个申请该内存的结构,造成DOS

调试环境搭建

环境搭建参考:http://blog.nsfocus.net/gdb-kgdb-debug-application

目标机上通过: modprobe usb_f_fs,加载相应模块.然后通过VMware虚拟机的USB功能,插入USB设备.
此时通过 cat /proc/modules | grep usb_f_fs 获得对应模块地址

获得地址后,可以通过客户机下断点。

然后在目标机上编写usb 异步写程序,使目标机进入ffs_user_copy_worker函数,进行跟踪与调试

修复建议

建议所有受影响用户,及时进行安全更新,可选方式如下:

1、相关Linux发行版已经提供了安全更新,请通过 yum 或 apt-get 的形式进行安全更新。

2、自定义内核的用户,请自行下载对应源码补丁进行安全更新。 补丁链接:
建议所有受影响用户,及时进行安全更新,可选方式如下:

1、相关Linux发行版已经提供了安全更新,请通过 yum 或 apt-get 的形式进行安全更新。

2、自定义内核的用户,请自行下载对应源码补丁进行安全更新。 补丁链接:

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=38740a5b87d53ceb89eb2c970150f6e94e00373a

参考文档

  1. https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=38740a5b87d53ceb89eb2c970150f6e94e00373a
  2. http://appscan.360.cn/blog/?p=171
  3. https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-7912

CVE-2016-7912 分析报告的更多相关文章

  1. Alpha阶段事后分析报告

    每个团队编写一个事后分析报告,对于团队在Alpha阶段的工作做一个总结. 请在2016年11月24日上课之前根据下述博客中的模板总结前一阶段的工作,发表在团队博客上,并在课上的事后分析会上进行汇报,并 ...

  2. 《奥威Power-BI智能分析报告制作方法 》精彩回顾

     上次课我们简单介绍了奥威Power-BI的智能分析报告,并展示了报告与图表相结合的应用场景.图文分析报表的意义不只在于美观,更重要的是固定框架下的灵活性和追根究底的动态分析,有着很强的实用性.上节课 ...

  3. 12月07日《奥威Power-BI智能分析报告制作方法 》腾讯课堂开课啦

            前几天跟我一个做报表的哥们聊天,听着他一茬一茬地诉苦:“每天做报表做到想吐,老板看报表时还是不给一个好脸色.”我也只能搬出那一套“过程大于结果”的内心疗程赠与他,没想到他反而怒了:“做 ...

  4. 张小龙在2017微信公开课PRO版讲了什么(附演讲实录和2016微信数据报告)

    今天2017微信公开课PRO版在广州亚运城综合体育馆举行,这次2017微信公开课大会以“下一站”为主题,而此次的微信公开课的看点大家可能就集中在腾讯公司高级副总裁.微信之父——张小龙的演讲上了!今天中 ...

  5. M1事后分析报告(Postmortem Report)

    M1事后分析报告(Postmortem Report) 设想和目标 1. 我们的软件要解决什么问题?是否定义得很清楚?是否对典型用户和典型场景有清晰的描述? 我们项目组所开发的软件为一个基于Andro ...

  6. websphere OSGi应用环境下服务调用saaj包加载问题分析报告

    websphere OSGi应用环境下服务调用saaj包加载问题分析报告 作者:bingjava 版权声明:本文为博主原创文章,转载请说明出处:http://www.cnblogs.com/bingj ...

  7. Google发布SSLv3漏洞简要分析报告

    今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告.根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均 ...

  8. 推荐一个利用 python 生成 pptx 分析报告的工具包:reportgen

    reportgen v0.1.8 更新介绍 这段时间,我对 reportgen 进行了大工程量的修改和更新.将之前在各个文章中出现的函数进行了封装,同时也对现有工具包的一些逻辑进行了调整. 1.rep ...

  9. python 生成 pptx 分析报告的工具包:reportgen

    python机器学习-sklearn挖掘乳腺癌细胞( 博主亲自录制) 网易云观看地址 https://study.163.com/course/introduction.htm?courseId=10 ...

  10. 使用AES加密的勒索类软件分析报告

    报告名称:  某勒索类软件分析报告    作者:        李东 报告更新日期: 样本发现日期: 样本类型: 样本文件大小/被感染文件变化长度: 样本文件MD5 校验值: da4ab5e31793 ...

随机推荐

  1. 10个最佳ES6特性

    译者按: 人生苦短,我用ES6. 原文: Top 10 ES6 Features Every Busy JavaScript Developer Must Know 译者: Fundebug 为了保证 ...

  2. Flask wtforms实现简单的登录注册

    目录结构 视图 # -*- coding:utf-8 -*- # Author : Niuli # Data : 2019-02-27 19:26 from flask import render_t ...

  3. 初学HTML-8

    video标签:播放视频 格式一:<video src=""> </video> video标签的属性: src:用于告诉video标签需要播放的视频地址. ...

  4. 【实践练习一】Git以及Github的使用

           以前经常在同学大神那听说过Github这神器,虽敬佩久已,奈何却无缘使用.好吧,我承认,主要还是不会用,一看网站全是英文的,想想还是不要为难自己了.然而现在还是要为难自己了,趁着早上刚学 ...

  5. element-ui 的el-button组件中添加自定义颜色和图标

    我使用的element-ui的版本是V1.4.13. 如上图所示,如果使用el-button,加颜色是可以通过设置type属性的值,加图标就设置icon属性的值. 现在产品给了一个需求,就是自定义的很 ...

  6. 【读书笔记】iOS-使用SQL数据库保存信息

    使用BLOB字段来保存图片是不是一个好的方法还存在争议,小图片除外.更常用的方法是将图片保存为一个文件,然后只在数据中保存图片文件的元数据,比如文件的路径.但是,如果你想把数据文件(初始数据)打包成一 ...

  7. jsPlumb.jsAPI阅读笔记(官方文档翻译)

    jsPlumb DOCS 公司要开始做流程控制器,所以先调研下jsPlumb,下文是阅读jsPlumb提供的document所产生的归纳总结 setup 如果不使用jQuery或者类jQuery库,则 ...

  8. 伪类选择器 E:nth-child(n)、E:nth-of-type(n)

    结构伪类是css3新增的类型选择器. E:nth-child(n).E:nth-of-type(n)就是其中之二.搞懂了这两个,基本上跟他俩一家的其他几个兄弟伙基本上也可以弄懂了. 首先先用文字语言来 ...

  9. vue权威指南笔记02——对比v-if与v-show

    <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> ...

  10. 03-openldap服务端安装配置

    openldap服务端安装配置 阅读目录 基础环境准备 安装openldap服务端 初始化openldap配置 启动OpenLDAP 重新生成配置文件信息 规划OpenLDAP目录树组织架构 使用GU ...