曲速未来 披露｜snprintf的问题：Icecast中的漏洞

区块链安全咨询公司 曲速未来 消息：有安全人员发现了由Xiph.org基金会维护的开源流媒体服务器Icecast中的一个漏洞。攻击者可以制作HTTP标头，覆盖服务器的堆栈内容，从而导致远程代码执行。由于Icecast通常用于托管互联网广播电台，因此有动力的攻击者可能会将电台停播。已为此漏洞分配标识符CVE-2018-18820。

snprintf：一个更安全的sprintf版本

在这一点上，众所周知，它sprintf是不安全的，因为它不提供缓冲区溢出保护。这是不寻常地看到，用户指向的文件snprintf作为一个更安全的版本，因为如果缓冲区太小，它将截断输出。但人们通常没有意识到的是，当它截断时，snprintf不会返回它写入的字节数。实际上，如果输出缓冲区足够大，它将返回它将写入的字节数。更糟糕的是，如果提供的大小参数大于缓冲区的实际大小，它无法阻止缓冲区溢出。

这是来自Icecast的易受攻击的代码，它从用户请求循环HTTP头并将它们复制到缓冲区，构建POST请求的主体以发送到身份验证服务器：

这段代码的略微简化版本：

如果考虑一个sizeof(post)10的情况，并且已经写入了8个字节（即，post_offset是8）。当要复制的下一个标题是什么时会发生什么"baz"？

输出被截断，但post_offset增加超出缓冲区的末尾：

现在如果假设有另一个要复制的标题，包含内容"AAAAA..."。就会处于一个有趣的位置：大小参数snprintf是sizeof(post) - post_offset，它将下溢成为一个非常大的数字。结果是后续调用snprintf可以有效地写入他们想要的数据。该数据将被写入缓冲区post post_offset末尾的某个地方post，并将覆盖堆栈的其他内容。

这意味着是可以发送一个将被截断的长HTTP标头，但其长度将允许post_offset在选择的堆栈中的任何位置。然后就可以发送第二个HTTP标头，其内容将被写入该位置。

攻击者的一个难点是在复制之前执行标题的一些清理snprintf，因此它们在可以写入堆栈的数据方面受到一定限制。这个概念验证漏洞只会导致服务器进程中的段错误 - 实际上是拒绝服务攻击 - 但是有怀疑一个充满动力和聪明的攻击者能够升级此攻击以实现全面的远程代码执行。

修复

区块链安全咨询公司 曲速未来 表示：Xiph的安全人员很快修补了这个bug，虽然修复非常简单。它只是检查来自的返回值snprintf，如果它导致post_offset超出缓冲区的末尾，它会记录一个错误并退出循环。

本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译，转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。