漏洞信息详情

Linux Kernel sock_sendpage()函数空指针引用漏洞

• CNNVD编号：CNNVD-200908-181
• 危害等级： 高危
  
• CVE编号： CVE-2009-2692
• 漏洞类型： 缓冲区溢出
• 发布时间： 2009-08-14
• 威胁类型： 本地
• 更新时间： 2009-08-19
• 厂        商： linux
• 漏洞来源： Tavis Ormandy※ tav...

漏洞简介

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。NFSv4 implementation是其中的一个分布式文件系统协议。 在Linux内核中，每个套接字都有一个名为proto_ops的相关操作结构，其中包含有用于实现各种功能(如接受、绑定、关闭等)的函数指针。如果对特定套接字的操作没有实现，就应将相关的函数指针指向预定义的存根。例如，如果没有定义accept功能，就应指向sock_no_accept()。但是，如果某些指针没有初始化，就可能出现其他情况。例如，sock_sendpage()函数在引用函数指针之前没有执行验证，因此依赖于proto_ops结构的初始化情况。 这个漏洞可能被用于获得本地权限提升。如果要利用这个漏洞，攻击者必须能够在0地址创建包含有将以内核权限执行代码的映射，然后使用以下序列触发有漏洞的操作： /* ... */ int fdin = mkstemp(template); int fdout = socket(PF_PPPOX， SOCK_DGRAM， 0); unlink(template); ftruncate(fdin， PAGE_SIZE); sendfile(fdout， fdin， NULL， PAGE_SIZE); /* ... */ 请注意sendfile()只是在套接字中导致sendpage操作的方法之一。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=e694958388c50148389b0e9b9e9e8945cf0f1b98

参考网址

来源: VUPEN 名称: ADV-2009-2272 链接:http://www.vupen.com/english/advisories/2009/2272 来源: issues.rpath.com 链接:https://issues.rpath.com/browse/RPL-3103 来源: bugzilla.redhat.com 链接:https://bugzilla.redhat.com/show_bug.cgi?id=516949 来源: MISC 链接:http://zenthought.org/content/file/CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android-root-2009-08-16-source 来源: BID 名称: 36038 链接:http://www.securityfocus.com/bid/36038 来源: BUGTRAQ 名称: 20090818 rPSA-2009-0121-1 kernel open-vm-tools 链接:http://www.securityfocus.com/archive/1/archive/1/505912/100/0/threaded 来源: BUGTRAQ 名称: 20090813 Linux NULL pointer dereference due to incorrect proto_ops initializations 链接:http://www.securityfocus.com/archive/1/archive/1/505751/100/0/threaded 来源: REDHAT 名称: RHSA-2009:1233 链接:http://www.redhat.com/support/errata/RHSA-2009-1233.HTML 来源: MLIST 名称: [oss-security] 20090814 CVE-2009-2692 kernel: uninit op in SOCKOPS_WRAP() leads to privesc 链接:http://www.openwall.com/lists/oss-security/2009/08/14/1 来源: MILW0RM 名称: 9477 链接:http://www.milw0rm.com/exploits/9477 来源: www.kernel.org 链接:http://www.kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.31-rc6 来源: www.kernel.org 链接:http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.30.5 来源: www.kernel.org 链接:http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.37.5 来源: www.kernel.org 链接:http://wiki.rpath.com/wiki/Advisories:rPSA-2009-0121 来源: SECUNIA 名称: 36430 链接:http://secunia.com/advisories/36430 来源: SECUNIA 名称: 36327 链接:http://secunia.com/advisories/36327 来源: SECUNIA 名称: 36289 链接:http://secunia.com/advisories/36289 来源: SECUNIA 名称: 36278 链接:http://secunia.com/advisories/36278 来源: REDHAT 名称: RHSA-2009:1223 链接:http://rhn.redhat.com/errata/RHSA-2009-1223.HTML 来源: REDHAT 名称: RHSA-2009:1222 链接:http://rhn.redhat.com/errata/RHSA-2009-1222.HTML 来源: SUSE 名称: SUSE-SR:2009:015 链接:http://lists.opensuse.org/opensuse-security-announce/2009-09/msg00001.HTML 来源: MISC 链接:http://grsecurity.net/~spender/wunderbar_emporium.tgz 来源: git.kernel.org 链接:http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=e694958388c50148389b0e9b9e9e8945cf0f1b98 来源: git.kernel.org 链接:http://git.kernel.org/?p=linux/kernel/git/stable/linux-2.4.37.y.git;a=commit;h=c18d0fe535a73b219f960d1af3d0c264555a12e3 来源: MISC 链接:http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.HTML 来源: FULLDISC 名称: 20090813 Linux NULL pointer dereference due to incorrect proto_ops initializations 链接:http://archives.neohapsis.com/archives/fulldisclosure/2009-08/0174.HTML

受影响实体

• Linux Linux_kernel:2.4.33.7  
• Linux Linux_kernel:2.4.33.2  
• Linux Linux_kernel:2.4.34  
• Linux Linux_kernel:2.4.35.3  
• Linux Linux_kernel:2.4.36.7  

补丁

暂无