简介

4.19.8之前,在Linux内核中,hso_probe()函数中发现了一个缺陷,该函数从USB设备(作为u8)读取if_num值,并且不需要对数组进行长度检查就使用它来索引数组,从而导致在hso_probe()或hso_get_config_data()中读取OOB内存。攻击者使用伪造的USB设备和对系统的物理访问(需要连接这样的设备)可以导致系统崩溃和拒绝服务。

补丁分析

补丁在这里:https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5146f95df782b0ac61abde36567e718692725c89

diff --git a/drivers/net/usb/hso.c b/drivers/net/usb/hso.c

index 184c24b..d6916f7

--- a/drivers/net/usb/hso.c

+++ b/drivers/net/usb/hso.c

@@ -, +, @@ static int hso_get_config_data(struct usb_interface *interface)

         return -EIO;

     }

+    /* check if we have a valid interface */

+    if (if_num > ) {

+        kfree(config_data);

+        return -EINVAL;

+    }

+

     switch (config_data[if_num]) {

     case 0x0:

         result = ;

@@ -, +, @@ static int hso_probe(struct usb_interface *interface,

     /* Get the interface/port specification from either driver_info or from

      * the device itself */

-    if (id->driver_info)

+    if (id->driver_info) {

+        /* if_num is controlled by the device, driver_info is a 0 terminated

+         * array. Make sure, the access is in bounds! */

+        for (i = ; i <= if_num; ++i)

+            if (((u32 *)(id->driver_info))[i] == )

+                goto exit;

         port_spec = ((u32 *)(id->driver_info))[if_num];

-    else

+    } else {

         port_spec = hso_get_config_data(interface);

+        if (port_spec < )

+            goto exit;

+    }

     /* Check if we need to switch to alt interfaces prior to port

      * configuration */

确定问题出在drivers/net/usb/hso.c,分析一下这个文件

源码分析

文件最后,有模块的一些操作,文件开头有一些注释,得知这是文件是一个驱动的实现,Option High Speed Mobile Devices,还有一个专门的编译选项CONFIG_USB_HSO

module_init(hso_init);

module_exit(hso_exit);

MODULE_AUTHOR(MOD_AUTHOR);

MODULE_DESCRIPTION(MOD_DESCRIPTION);

MODULE_LICENSE(MOD_LICENSE);

初始化函数是hso_init,卸载函数是hso_exit,卸载函数比较简单,只是注销了tty和usb的驱动,同样在hso_init函数中,也注册了这两个驱动。

static void __exit hso_exit(void)

{

    printk(KERN_INFO "hso: unloaded\n");

    tty_unregister_driver(tty_drv);

    /* deregister the usb driver */

    usb_deregister(&hso_driver);

}

这应该是一个连在USB总线上的串口,下层使用USB来和硬件交流,然后将USB获得的信息传递给tty层。从文件中定义的tty_operations这些个函数看下去,最终实现都是USB这边的实现,usb_submit_urb、usb_control_msg函数

static const struct tty_operations hso_serial_ops = {

    .open = hso_serial_open,

    .close = hso_serial_close,

    .write = hso_serial_write,

    .write_room = hso_serial_write_room,

    .ioctl = hso_serial_ioctl,

    .set_termios = hso_serial_set_termios,

    .chars_in_buffer = hso_serial_chars_in_buffer,

    .tiocmget = hso_serial_tiocmget,

    .tiocmset = hso_serial_tiocmset,

    .get_icount = hso_get_count,

    .unthrottle = hso_unthrottle

};

hso_probe函数是定义的usb驱动的probe函数,就是USB设备插上之后,USB驱动第一个被调用的函数,在这个函数中应该要做一些设备的初始化功能

static struct usb_driver hso_driver = {

    .name = driver_name,

    .probe = hso_probe,

    .disconnect = hso_disconnect,

    .id_table = hso_ids,

    .suspend = hso_suspend,

    .resume = hso_resume,

    .reset_resume = hso_resume,

    .supports_autosuspend = ,

};

补丁的修改位置就在hso_probe的开头,问题出在if_num处

    if_num = interface->altsetting->desc.bInterfaceNumber;

    /* Get the interface/port specification from either driver_info or from

     * the device itself */

    if (id->driver_info)

        port_spec = ((u32 *)(id->driver_info))[if_num];

    else

        port_spec = hso_get_config_data(interface);

    if (interface->cur_altsetting->desc.bInterfaceClass != 0xFF) {

        dev_err(&interface->dev, "Not our interface\n");

        return -ENODEV;

    }

altsetting,这个值表示可选的设置,bInterfaceNumber表示该配置的接口号。这些值都是USB枚举阶段从外部设备读入的值,也就是if_num这个值是可以被恶意的外部设备所控制

在port_spec = ((u32 *)(id->driver_info))[if_num];这句话,当id->driver_info==0的时候if_num的超过会造成越界访问,不过好像看了下hso_ids中的值,会有等于0的情况吗?

然后是hso_get_config_data函数,开头同样有这样的一段和上述代码类似

    struct usb_device *usbdev = interface_to_usbdev(interface);

    u8 config_data[];

    u32 if_num = interface->altsetting->desc.bInterfaceNumber;

    s32 result;

    if (usb_control_msg(usbdev, usb_rcvctrlpipe(usbdev, ),

                0x86, 0xC0, , , config_data, ,

                USB_CTRL_SET_TIMEOUT) != 0x11) {

        return -EIO;

    }

    switch (config_data[if_num]) {

同样是对于interface->altsetting->desc.bInterfaceNumber这个值的数据访问。所以加上一个越界判断

CVE-2018-19985漏洞学习的更多相关文章

  1. XXE漏洞学习笔记

    XXE 参考文章 名称 地址 一篇文章带你深入理解漏洞之 XXE 漏洞 https://xz.aliyun.com/t/3357 Web Hacking 101 https://wizardforce ...

  2. PWN二进制漏洞学习指南

    目录 PWN二进制漏洞学习指南 前言 前置技能 PWN概念 概述 发音 术语 PWN环境搭建 PWN知识学习途径 常见漏洞 安全机制 PWN技巧 PWN相关资源博客 Pwn菜鸡小分队 PWN二进制漏洞 ...

  3. XSS漏洞学习笔记

    XSS漏洞学习 简介 xss漏洞,英文名为cross site scripting. xss最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的. 说白了就是想尽办法让你加载 ...

  4. Typecho-反序列化漏洞学习

    目录 Typecho-反序列化漏洞学习 0x00 前言 0x01 分析过程 0x02 调试 0x03 总结 0xFF 参考 Typecho-反序列化漏洞学习 0x00 前言 补丁: https://g ...

  5. JWT漏洞学习

    JWT漏洞学习 什么是JWT? JWT是JSON Web Token的缩写,它是一串带有声明信息的字符串,由服务端使用加密算法对信息签名,以保证其完整性和不可伪造性.Token里可以包含所有必要的信息 ...

  6. FastJson远程命令执行漏洞学习笔记

    FastJson远程命令执行漏洞学习笔记 Fastjson简介 fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean.fastjson.ja ...

  7. CVE补丁安全漏洞【学习笔记】

    更新安卓系统的CVE补丁网站:https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/version ...

  8. 【转】Vulhub - 开源的安全漏洞学习与复现项目

    转载于:https://uk.v2ex.com/t/485611#reply15 Vulhub 是一个面向大众的开源漏洞靶场,无需 docker 知识,简单执行两条命令即可编译.运行一个完整的漏洞靶场 ...

  9. CVE-2017-6920 Drupal远程代码执行漏洞学习

     1.背景介绍: CVE-2017-6920是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的Drupal Core. Drupal介绍:Drupal 是一个由 ...

  10. 代码审计之CVE-2017-6920 Drupal远程代码执行漏洞学习

     1.背景介绍: CVE-2017-6920是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的Drupal Core. Drupal介绍:Drupal 是一个由 ...

随机推荐

  1. JavaWeb_(Struts2框架)使用Servlet实现用户的登陆

    JavaWeb_(Struts2框架)使用Struts框架实现用户的登陆 传送门 JavaWeb_(Struts2框架)Servlet与Struts区别 传送门 MySQL数据库中存在Gary用户,密 ...

  2. 三、Reids(高性能)key-value服务器知识整合

    一.Redis 是完全开源免费的,遵守BSD协议,是一个高性能的key-value数据库. 知识链接:https://www.runoob.com/redis/redis-backup.html ht ...

  3. JDK动态代理、CGLIB动态代理详解

    Spring的AOP其就是通过动态代理的机制实现的,所以理解动态代理尤其重要. 动态代理比静态代理的好处: 1.一个动态代理类可以实现多个业务接口.静态代理的一个代理类只能对一个业务接口的实现类进行包 ...

  4. elasticsearch 单实例安装启动

    elasticsearch 初次启动 下载 elasticsearch-6.3.2.tar.gz 创建目录 /usr/local/elasticsearch/ 解压 tar -zxf elastics ...

  5. ccf 201712-4 行车路线(70分)

    ccf 201712-4 行车路线 解题思路: 首先Dijkstra是基于贪心算法的,即每一次作出的选择都具有贪心选择性.此题由于有“如果连续走小道,小明的疲劳值会快速增加,连续走s公里小明会增加s2 ...

  6. Thread 源码阅读

    Thread 属性说明 /** * 程序中的执行线程 * @since 1.0 */ public class Thread implements Runnable { /* Make sure re ...

  7. HAproxy负载均衡-ACL篇(转) blog.csdn.net/tantexian

    ACL定制法则: 开放策略:拒绝所有,只开放已知 拒绝策略:允许所有,只拒绝某些 事实上实现安全策略,无非也就是以上两种方法 redirect 参考:http://cbonte.github.io/h ...

  8. 数据中心网络架构的问题与演进 — CLOS 网络与 Fat-Tree、Spine-Leaf 架构

    目录 文章目录 目录 前文列表 CLOS Networking Switch Fabric 胖树(Fat-Tree)型网络架构 Fat-Tree 拓扑示例 Fat-Tree 的缺陷 叶脊(Spine- ...

  9. RxJava2实战---第五章 变换操作符和过滤操作符

    RxJava2实战---第五章 变换操作符和过滤操作符 RxJava的变换操作符主要包括以下几种: map():对序列的每一项都用一个函数来变换Observable发射的数据序列. flatMap() ...

  10. Xcode里如何修改类的名字

    今天有朋友问我他的AFNetWorking和别的文件冲突啦,于是我帮他测试了下: 传送门: http://jingyan.baidu.com/article/fb48e8be35726f6e622e1 ...