기본 콘텐츠로 건너뛰기

Signed-Numeric-overflow

Signed-Numeric-overflow

부호 있는 정수 경계

오버플로우

부호 있는 정수 취약점 예

char *read_data(int sockfd)
{
	char *buf;
	int length = network_get_int(sockfd);

	if(!(buf = (char *)malloc(MAXCHARS)))
		die("malloc: %m");

	if(length < 0 || length + 1 >= MAXCHARS) {
		free(buf);
		die("bad length: %d", value);
	}
	
	if(read(sockfd, buf, length) <= 0) {
		free(buf);
		die("read: %m");
	}
	
	buf[value] = '\0';
	
	return buf;
}

먼저 lengthMAXCHARS 보다 작은지 검사한다. 그리고 2 번째 length 검사에서 length 값에 1을 더한다. 이것이 공격 벡터가 된다. 값이 0x7FFFFFFF라면 이 값은 0보다 크기 때문에 첫 번째 검사를 통과하며, 두 번째 length 검사를 통과한다. (0x7FFFFFFF + 1은 0x80000000이 되고 이는 음수 값이다.) 결과적으로 read()는 경게가 없는, 즉 음수 값을 가진 length 인자로 호출되고, 이는 잠재적으로 버퍼 오버플로우 상황을 만든다.

OpenSSL 0.9.6I에서 정부 부호 경계 취약점 예

BIO(buffered IO) 스트림으로부터 ASN.1 객체를 읽어 들이는 crypto/asn1/a_d2i_fp.c - ASN1_d2i_fp() 함수의 일부분이다.

c.inf=ASN1_get_object(&(c.p),&(c.slen),&(c.tag),&(c.xclass), len - off);
...
{
	/* c.slen 바이트만큼 데이터를 읽어 들임 */
	want = (int)c.slen;
	if (want > (len - off))
	{
		want -=(len - off);
		if (!BUF_MEM_grow(b, len + want))
		{
			ASN1err(ASN1_F_ASN1_D2I_BIO, ERR_R_MALLOC_FAILURE);
			goto err;
		}
		i = BIO_read(in, &(b->data[len]), want);

ASN1_get_object() 함수는 다음의 ANS.1 객체 길이를 명시한 객체 헤더를 읽어 들인다. 길이는 c.slen 부호 있는 정수에 저장되고 want에 할당된다. ANS.1 객체 함수는 이 숫자가 음수가 아니고 c.slen의 가능한 최댓값은 0x7FFFFFFF이 되도록 확인한다. 이 지점에서 len은 메모리에 이미 읽어 들인 데이터의 양이며, off는 데이터에서 파싱된 객체의 오프셋 값이다. 따라서 (len - off)는 파서에 의해 프로세스되지 않은 메모리에 읽어 들인 데이터의 양을 의미한다. 파싱되지 않은 데이터보다 객체가 크다면 코드는 더 많은 공간을 할당하고 나머지 객체를 읽어 들인다.

BUF_MEM_grow() 함수는 메모리 버퍼 b에서 요구되는 공간을 할당하기 위해 호출된다. 두 번째 인자는 크기 매개변수다. 문제는 두 번째 인자인 len + want 연산식이 오버플로우를 초래할 수 있다는 점이다. len이 200바이트이고 off가 50바이트라면 공격자는 객체 크기를 0x7FFFFFFF로 정하고, 이는 want의 값이 된다. 0x7FFFFFFF는 메모리에 남아있는 데이터인 150바이트보다 큰 값이기 때문에 메모리 할당 부분이 실행된다. want에서 이미 읽어 들인 데이터 값인 150을 빼고 결과 값은 0x7FFFFF69가 된다. BUF_MEM_grow()len + want 또는 0x7FFFFF69 + 200바이트 값을 요구하는데, 이 값은 0x80000031이 되고 큰 음수 값으로 해석된다.

이 블로그의 인기 게시물

데일 카네기 인간관계론 정리

Remove-Server-Header

응답 메시지 내 서버 버전 정보 제거 1. Apache 1) 조치 방법 “/etc/htpd/conf/httpd.conf” 파일 안에서 1. ServerTokens OS → ServerTokens Prod 2. ServerSignature On → ServerSignature Off 로 변경한 후 아파치를 재시작하면 헤더 값의 아파치 버전 정보 및 OS 정보를 제거할 수 있다. 2) 참고 URL http://zetawiki.com/wiki/CentOS_ 아파치_보안권장설정_ServerTokens_Prod,_ServerSignature_Off 2. IIS 1) 조치 방법 IIS 6.0 urlscan_setup 실행. 설치. \windows\system32\inetsrv\urlscan\urlscan.ini 파일을 열어 다음 수정(RemoveServerHeader=0 을 RemoveServerHeader=1 로 변경) 서비스에서 IIS Admin Service 재시작. IIS 7.0 IIS 관리자를 열고 관리하려는 수준으로 이동합니다. 기능 보기에서 HTTP 응답 헤더를 두 번 클릭합니다. HTTP 응답 헤더 페이지에서 제거할 헤더를 선택합니다. 작업 창에서 제거를 클릭하고 예를 클릭합니다. 2) 참고 URL IIS 6.0 : http://gonnie.tistory.com/entry/iis6- 응답헤더-감추기 IIS 7.0 : https://technet.microsoft.com/ko-kr/library/cc733102(v=ws.10).aspx 3. jetty 1) 조치 방법 “jetty.xml” 파일에서 jetty.send.server.version=false 설정 2) 참고 URL http://attenuated-perspicacity.blogspot.kr/2009/09/jetty-61x-hardening.html 4. Nginx ...

CVE-2017-11352

CVE-2017-11352 ImageMagick 에서 발생했던 CVE-2017-9144 취약점의 미흡한 조치로 인하여 동일한 취약점이 다시 발생되었다. 재 발생된 취약점 CVE-2017-11352은 coders/rle.c 에서 RLE 이미지에 대한 부적절한 EOF 처리가 원인이었다. EOF 란? 파일의 끝(End of File, EOF)으로 데이터 소스로부터 더 이상 읽을 수 있는 데이터가 없음을 나타낸다. ImageMagick Github Page 에 들어가보면 해당 이슈를 상세히 확인할 수 있다. 부적절한 EOF 처리 원인은 소스 코드 수정 시 유사한 코드를 복사 붙여넣기 하는 과정에서 검증해야할 변수 명을 고치지 않고 그대로 적용해서 발생했다. operand=ReadBlobByte(image); if (opcode == EOF) ThrowRLEException(CorruptImageError, "UnexpectedEndOfFile" ); 이로 인해서 조치 완료된 줄 알았던 CVE-2017-9144 취약점은 CVE-2017-11352이라는 새로운 취약점 명으로 다시 조치 되었다. case SkipLinesOp: { operand=ReadBlobByte(image); - if (opcode == EOF) + if (operand == EOF) ThrowRLEException(CorruptImageError, "UnexpectedEndOfFile" ); if (opcode & 0x40 ) { operand=ReadBlobLSBSignedShort(image); - if (opcode == EOF) + if (operand == EO...