Dalam slaacd proses latar belakang, yang bertanggungjawab untuk autokonfigurasi alamat IPv6 (IPv6 Stateless Address Autoconfiguration, RFC 4862) dalam OpenBSD, kelemahan telah dikenal pasti yang membawa kepada limpahan penimbal apabila menerima iklan penghala IPv6 yang direka khas (RA, Iklan Penghala) .
Pada mulanya, fungsi konfigurasi autokonfigurasi alamat IPv6 telah dilaksanakan pada peringkat kernel, tetapi bermula dengan OpenBSD 6.2 ia telah dialihkan ke proses slaacd tanpa hak yang berasingan. Proses ini bertanggungjawab untuk menghantar mesej RS (Router Solicitation) dan menghuraikan respons RA (Router Advertisement) dengan maklumat tentang parameter sambungan penghala dan rangkaian.
Pada bulan Februari, slaacd membetulkan pepijat yang menyebabkannya ranap jika 7 pelayan dinyatakan dalam senarai RDNSS (Pelayan DNS Rekursif). Pengawasan ini menarik perhatian penyelidik bebas yang cuba meneliti kod slaacd untuk ralat lain yang berlaku semasa menghuraikan medan dalam mesej RA. Analisis menunjukkan bahawa terdapat satu lagi masalah dalam kod, yang menunjukkan dirinya semasa memproses medan DNSSL (Senarai Carian DNS), yang merangkumi senarai nama domain dan templat hos untuk DNS.
Setiap nama dalam senarai DNSSL dikodkan menggunakan pembatas nol dan teg satu bait perantara yang menentukan saiz data yang berikut. Kerentanan disebabkan oleh fakta bahawa dalam kod penghuraian senarai, medan dengan saiz disalin ke dalam pembolehubah dengan jenis integer bertanda (βlen = data[pos]β). Sehubungan itu, jika nilai dinyatakan dalam medan dengan set bit paling ketara, nilai ini akan dilihat dalam operator bersyarat sebagai nombor negatif dan semakan untuk saiz maksimum yang dibenarkan (βjika (len > 63 || len + pos + 1 > datalen) {β) tidak akan berfungsi, yang akan membawa kepada panggilan ke memcpy dengan parameter yang saiz data yang disalin melebihi saiz penimbal.
Sumber: opennet.ru