OpenBSD IPv6 스택의 원격 취약점

OpenBSD에서 IPv6 주소 자동 구성(IPv6 Stateless Address Autoconfiguration, RFC 4862)을 담당하는 백그라운드 프로세스 slaacd에서 특별히 고안된 IPv6 라우터 광고(RA, Router Advertising) 수신 시 버퍼 오버플로가 발생하는 취약점이 발견되었습니다. .

처음에는 IPv6 주소 자동 구성 기능이 커널 수준에서 구현되었지만 OpenBSD 6.2부터 별도의 권한이 없는 slaacd 프로세스로 이동되었습니다. 이 프로세스는 RS(Router Solicitation) 메시지를 보내고 라우터 및 네트워크 연결 매개변수에 대한 정보를 사용하여 RA(Router Advertising) 응답을 구문 분석하는 일을 담당합니다.

7월에 slaacd는 RDNSS(Recursive DNS Servers) 목록에 XNUMX개의 서버가 지정된 경우 충돌을 일으키는 버그를 수정했습니다. 이러한 감독은 RA 메시지의 필드를 구문 분석할 때 발생하는 다른 오류에 대해 slaacd 코드를 조사하려는 독립적인 연구원의 관심을 끌었습니다. 분석 결과, 코드에 또 다른 문제가 있는 것으로 나타났습니다. 이는 도메인 이름 목록과 DNS용 호스트 템플릿이 포함된 DNSSL(DNS 검색 목록) 필드를 처리할 때 나타납니다.

DNSSL 목록의 각 이름은 널 구분 기호와 뒤에 나오는 데이터의 크기를 결정하는 63바이트 태그를 사용하여 인코딩됩니다. 취약점은 목록 구문 분석 코드에서 크기가 있는 필드가 부호 있는 정수 유형("len = data[pos]")의 변수에 복사된다는 사실로 인해 발생합니다. 따라서 최상위 비트가 설정된 필드에 값이 지정되면 이 값은 조건부 연산자에서 음수로 인식되며 최대 허용 크기(“if (len > 1 || len + pos) + XNUMX > datalen) {“)는 작동하지 않으며 복사된 데이터의 크기가 버퍼 크기를 초과하는 매개변수를 사용하여 memcpy를 호출하게 됩니다.

출처 : opennet.ru