0x00 背景介绍

2017年11月24日, OSS社区披露了一个由独立安全研究员Mohamed Ghannam发现的一处存在于Linux 内核Netlink socket子系统(XFRM)的漏洞，漏洞编号CVE-2017-16939。

360CERT经过实际验证，确认该漏洞确实存在，但poc作者认为存在UAF漏洞，存在提权的可能性，而我们认为并没有UAF，只是使用未初始化链表造成的crash(空指针引用)，并且使用的内存已经被初始化了，实际上无法提前布局，不能进一步利用达到提权的目的。

0x01 漏洞概述

Netlink 是一种特殊的 socket，它是一种在内核与用户间进行双向数据传输的一种方式，用户态应用使用标准的 socket API 就可以使用 Netlink 提供的强大功能，内核态需要使用专门的内核 API 来使用 Netlink。

XFRM是 Linux 2.6 内核为安全处理引入的一个可扩展功能框架，用来在数据包经过路由路径的过程中对其进行修改。

漏洞原因是：在调用xfrm_dump_policy_done函数之前，如果不事先调用xfrm_dump_policy，会导致链表没有被初始化，造成空指针引用，产生崩溃。官方修正的补丁添加了xfrm_dump_policy_start函数，确保调用done之前会进行初始化。

0x02 漏洞攻击面影响

1. 影响版本

影响Linux Kernel 2.6.28~4.14之间的版本

影响版本链接：

2. 修复版本

漏洞已被作为1137b5e(“ipsec：修复异常xfrm策略转储崩溃”补丁)的一部分解决，在4.14-rc7版本中被修复。

0x03 漏洞详情

1. 技术细节

在函数 static int netlink_dump(struct sock *sk) 中：

(/net/netlink/af_netlink.c)

在上面的代码中，我们可以看到当sk->sk_rcvbuf小于等于sk_rmem_alloc(注意我们可以通过stockpot控制sk->sk_rcvbuf)时，netlink_dump()检查失败，它跳转到函数的结尾并退出，但是cb_running的值不会更改为false。

所以当 atomic_read(&sk->sk_rmem_alloc) >= sk->sk_rcvbuf 时，不应调用 cb->done(cb)，且nlk->cb_running 应设为 false。否则在 static void netlink_sock_destruct(struct sock *sk) 函数中：

该函数会在close(socketfd)时触发。该函数检测到 nlk->cb_running 不为 false，就会调用 done() 函数，即 xfrm_dump_policy_done()，导致 crash。

2. poc的验证分析

原作者 poc 中的执行流程如下：

(1) do_setsockopt() ：改小 sk->sk_rcvbuf 值

(2)send_msg(fd,&p->msg)：

第一次发送时，atomic_read(&sk->sk_rmem_alloc) = 0 < sk->sk_rcvbuf，发送之后，sk->sk_rmem_alloc 累加，结果在第一次发送后：

atomic_read(&sk->sk_rmem_alloc) >= sk->sk_rcvbuf

(3)send_msg(fd,&p->msg)：

第二次发送之后，此时atomic_read(&sk->sk_rmem_alloc) >= sk->sk_rcvbuf，未调用 done()，但 nlk->cb_running 值保持为 true。

(4)close(fd)：调用cb->done(cb)，产生崩溃。

按上述原理，其实即使不调用 “do_setsockopt();” 改小 sk->sk_rcvbuf 值，只要多次 send，那么当 sk->sk_rmem_alloc 累加到超过 sk->sk_rcvbuf 值，再次 send 后，“close(fd)”或进程退出时，就会导致 crash。

原 poc 改为如下也可触发(不调用 do_setsockopt())：

3. 漏洞分析总结

crash 原因分析：

原本程序理想流程是 xfrm_dump_policy() -> xfrm_dump_policy_done()， xfrm_dump_policy() 时会检查 callback 中的一个双向链表是否有初始化，若没有，则初始化之(空链)。

而 xfrm_dump_policy_done() 时默认上述链表已初始化，不再检查，直接读写。如前文所述，多次 send 就可以造成：

atomic_read(&sk->sk_rmem_alloc) >= sk->sk_rcvbuf

导致 netlink_dump() 中跳过 xfrm_dump_policy() ，即没有初始化链表，所以 close(fd) 时，xfrm_dump_policy_done() 就会操作未初始化内存，导致 crash。

那么若能提前布局这块内存，则可实现任意地址写值(通过双向链表del操作)。但是，无论是否触发初始化链表的操作，在之前这块内存都会被 memset(0)：

在__netlink_dump_start 函数里 memset(0) 后，才调用 netlink_dump。接下来 netlink_dump中做 sk_rmem_alloc >= sk_rcvbuf 的检测，失败后就不去 xfrm_dump_policy 了。到后面 xfrm_dump_policy_done 用到的就是之前 memset(0) 的内存。这样就是缺少了 xfrm_dump_policy 过程中的初始化链表操作(INIT_LIST_HEAD)，最终造成空指针引用。

所以这只是使用未初始化链表造成的crash(空指针引用)，并且使用的内存已经被初始化了，实际上无法提前布局，不能进一步利用达到提权的目的。

0x04 修复建议

建议所有受影响用户，及时进行安全更新，可选方式如下：

1、相关Linux发行版已经提供了安全更新，请通过 yum 或 apt-get 的形式进行安全更新。

2、自定义内核的用户，请自行下载对应源码补丁进行安全更新。 补丁链接：

0x05 时间线

2017-10-19 git上commit漏洞补丁

2017-11-24 OSS-SEC邮件组公布漏洞信息

2017-11-27 360CERT发布分析预警通告

0x06 参考文档