OpenBSD IPv6 스택의 원격 취약점

OpenBSD에서 IPv6 Stateless Address Autoconfiguration(RFC 6)을 담당하는 slaacd 백그라운드 프로세스에서 취약점이 발견되었습니다. 이 취약점으로 인해 특수하게 조작된 IPv4862 라우터 광고(RA)를 수신할 때 버퍼 오버플로가 발생합니다.

처음에는 IPv6 주소 자동 구성 기능이 커널 수준에서 구현되었지만 OpenBSD 6.2부터 별도의 권한이 없는 프로세스인 slaacd로 이동되었습니다. 이 프로세스는 RS(라우터 요청) 메시지를 보내고 라우터 및 네트워크 연결 매개변수에 대한 정보가 포함된 RA(라우터 광고) 응답을 구문 분석하는 역할을 합니다.

2월에 slaacd에서 7을 지정할 경우 충돌을 일으키던 버그가 수정되었습니다. 서버 RDNSS(재귀 DNS 서버) 목록에서 이러한 누락이 발견되었습니다. 이 오류는 독립 연구원들의 관심을 끌었고, 이들은 RA 메시지의 필드를 파싱할 때 발생하는 다른 오류를 찾기 위해 slaacd 코드를 조사했습니다. 분석 결과, 해당 코드는 DNSSL(DNS 검색 목록) 필드를 처리할 때 발생하는 또 다른 문제를 가지고 있는 것으로 드러났는데, 이 필드에는 여러 목록이 포함되어 있습니다. 도메인 이름 그리고 DNS용 호스트 템플릿입니다.

DNSSL 목록의 각 이름은 63부터 시작하는 구분 기호와 뒤에 오는 데이터의 크기를 결정하는 중간 1바이트 마커를 사용하여 인코딩됩니다. 이 취약점은 목록 구문 분석 코드에서 크기 필드가 부호 있는 정수 변수("len = data[pos]")에 복사되기 때문에 발생합니다. 따라서 필드에 상위 비트가 설정된 값이 지정되면 이 값은 조건 연산자에서 음수로 인식되고 허용되는 최대 크기에 대한 검사("if (len > XNUMX || len + pos + XNUMX > datalen) {")가 작동하지 않아 복사되는 데이터 크기가 버퍼 크기를 초과하는 매개변수를 사용하는 memcpy 호출이 발생합니다.

출처 : opennet.ru