Linux内核SCTP协议误差剖析与复现

宣布时间 2019-05-30

误差配景

Linux内核SCTP协议实现中保存一个清静误差CVE-2019-8956（CNVD-2019-06182、CNNVD-201902-823），，，，，，，可以导致拒绝效劳。。。。。。。该误差保存于net/sctp/socket.c中的sctp_sendmsg()函数，，，，，，，该函数在处置惩罚SENDALL标记操作历程时保存use-after-free误差。。。。。。。

SCTP协议简介

流控制传输协议（Stream Control Transmission Protocol，，，，，，，SCTP）是一种可靠的传输协议，，，，，，，它在两个端点之间提供稳固、有序的数据转达效劳（很是类似于 TCP），，，，，，，并且可以�；；；；；；な菪挛沤缦撸ɡ� UDP）。。。。。。。与TCP和 UDP差别，，，，，，，SCTP 是通过多宿主（Multi-homing）和多流（Multi-streaming）功效提供这些收益的，，，，，，，这两种功效均可提高可用性。。。。。。。

多宿主（Multi-homing）为应用程序提供了比 TCP 更高的可用性。。。。。。。多宿主主机就是一台具有多个网络接口的主机，，，，，，，因此可以通过多个 IP 地点来会见这台主机。。。。。。。在 TCP 中，，，，，，，毗连（connection）是指两个端点之间的一个通道（在这种情形下，，，，，，，就是两台主机的网络接口之间的一个套接字）。。。。。。。SCTP 引入了“联合（association）”的看法，，，，，，，它也是保存于两台主机之间，，，，，，，但可以使用每台主机上的多个接口举行协作。。。。。。。

误差原理

误差补丁代码如下，，，，，，，补丁代码将list_for_each_entry换成了list_for_each_entry_safe。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

宏界说list_for_each_entry功效是遍历ep->asocs链表中的asoc节点。。。。。。。宏界说list_for_each_entry和list_for_each_entry_safe如下所示：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

宏界说list_for_each_entry_safe中添加了一个n，，，，，，，该n用来存放pos指向的节点的下一个节点位置。。。。。。。使用该宏可以对链表举行删除操作。。。。。。。

下面临sctp_sendmsg函数挪用链举行剖析。。。。。。。sctp_sendmsg是基于SCTP协议的sendmsg类型函数，，，，，，，用于发送SCTP数据包。。。。。。。要害实现如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

行2038，，，，，，，从msg中剖析出sinfo；；；；；；行2043，，，，，，，获取到sflags。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

行2055，，，，，，，判断sflags是否为SCTP_SENDALL。。。。。。。若是保存，，，，，，，进入list_for_each_entry循环中，，，，，，，依次遍历ep->asocs链表。。。。。。。这里的asocs就是存放多个association毗连的链表。。。。。。。SCTP_SENDALL标记代表向asocs链表中的所有association毗连发送数据包。。。。。。。以是asocs链表中至少要保存一个association节点。。。。。。。进入sctp_sendmsg_check_sflags函数后，，，，，，，该函数实现如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

首先，，，，，，，检查asoc是否处于CLOSED状态，，，，，，，检查asoc是否处于监听状态，，，，，，，检查asoc是否shutdown。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

接下来，，，，，，，检查sflags是否为SCTP_ABORT，，，，，，，凭证rfc文档可知ABORT的用法以及ABORT指令的数据包名堂。。。。。。。SCTP_ABORT标记代表中止一个association毗连，，，，，，，这个也是导致误差的要害。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

行1863，，，，，，，sctp_make_abort_user结构ABORT指令的chunk；；；；；；行1868，，，，，，，挪用sctp_primitive_ABORT发送中止一个association的chunk。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

通过调试可知挪用sctp_sf_do_9_1_prm_abort函数举行ABORT操作，，，，，，，该函数将会举行如下操作：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

添加一条删除asoc的commands，，，，，，，然后返回SCTP_DISPOSITION_ABORT。。。。。。。正常返回，，，，，，，继续剖析，，，，，，，返回到sctp_do_sm函数中。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

行1188正常返回后，，，，，，，行1191挪用sctp_side_effects函数凭证状态机对应的状态举行操作。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

行1246，，，，，，，将asoc置空，，，，，，，ABORT标记代表中止一个association操作竣事。。。。。。。从sctp_sendmsg_check_sflags函数返回到sctp_sendmsg函数中，，，，，，，宏list_for_each_entry循环中遍历获取第一个asoc节点时，，，，，，，进入sctp_sendmsg_check_sflags函数将第一个asoc置空，，，，，，，然后再举行遍历后面节点时，，，，，，，就爆发了零地点引用导致误差爆发。。。。。。。

误差复现

将sflags设置成SENDALL | ABORT，，，，，，，包管进入list_for_each_entry循环和sctp_sendmsg_check_sflags()函数即可。。。。。。。在4.20内核下验证如下。。。。。。。由于该误差是NULL-PTR deref，，，，，，，即是零地点解引用，，，，，，，无法进一步使用。。。。。。。

修复建议

该误差影响Linux Kernel 4.19.x和4.20.x，，，，，，，建议更新到version 4.20.8 或4.19.21。。。。。。。补丁链接如下：https://git.kernel.org/linus/ba59fb0273076637f0add4311faa990a5eec27c0

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Linux内核SCTP协议误差剖析与复现

关于鉴黑担保网

解决计划

清静研究

联系鉴黑担保网

7*24小时效劳热线