ZeroBox Notes

在现在的网络架构中，大型网站一般都会上 Memcached 用于提高性能，降低静态数据的响应速度。

今天看到一个memcached的整数溢出

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2415

描述如下：
Multiple integer overflows in memcached 1.1.12 and 1.2.2 allow remote attackers to execute arbitrary code via vectors involving length attributes that trigger heap-based buffer overflows.

我翻了下 diff，主要是几个数据类型都用的是 int, 所以patch 就是改成 size_t, 即 unsigned int
比如：
/* data for the swallow state */
–    int    sbytes;    /* how many bytes to swallow */
+    size_t    sbytes;    /* how many bytes to swallow */

…..

@@ -514,11 +515,12 @@
char key[251];
int flags;
time_t expire;
–        int len, res;
+        int res;
+        size_t len;
item *it;

–        res = sscanf(command, “%*s %250s %u %ld %d
“, key, &flags, &expire, &len);
–        if (res!=4 || strlen(key)==0 ) {
+        res = sscanf(command, “%*s %250s %u %ld %zu
“, key, &flags, &expire, &len);
+        if (res!=4 || strlen(key)==0 || SIZE_MAX – 2 < len) {
out_string(c, “CLIENT_ERROR bad command line format”);
return;
}

……

@@ -528,6 +530,11 @@
out_string(c, “SERVER_ERROR out of memory”);
/* swallow the data line */
c->write_and_go = conn_swallow;
+            if(SIZE_MAX – 2 < len){
+                out_string(c, “SERVER_ERROR out of memory”);
+                return;
+            }
+
c->sbytes = len+2;
return;
}

……

@@ -41,13 +42,21 @@
}

-item *item_alloc(char *key, int flags, time_t exptime, int nbytes) {
–    int ntotal, len;
+item *item_alloc(char *key, int flags, time_t exptime, size_t nbytes) {
+    size_t ntotal, len;
item *it;
unsigned int id;

len = strlen(key) + 1; if(len % 4) len += 4 – (len % 4);
–    ntotal = sizeof(item) + len + nbytes;
+
+    if(SIZE_MAX – sizeof(item) > len){
+        ntotal = sizeof(item) + len;
+        if(SIZE_MAX – ntotal > nbytes)
+            ntotal += nbytes;
+        else
+            return 0;
+    } else
+        return 0;

id = slabs_clsid(ntotal);
if (id == 0)

……

@@ -95,7 +104,7 @@
it->it_flags = 0;
it->nkey = len;
it->nbytes = nbytes;
–    strcpy(ITEM_key(it), key);
+    strncpy(ITEM_key(it), key, len);
it->exptime = exptime;
it->flags = flags;
return it;

在高版本OS上利用堆溢出还是比较麻烦的，利用失败很可能会crash掉 memcached 服务。对于网站来说，memcached crash掉也会是一件很痛苦的事情。

要从外部利用 memcached的漏洞的话，需要能从外部传参数进入memcached。因为程序可能会往memcached内存入 key value 对，如果key 或者 value 能够由用户输入控制，就有实施攻击的可能。

在现实环境中，纯黑盒的渗透下还是比较困难的，因为不知道程序的逻辑是什么样的，不知道哪些东西存入了memcached，不知道多长时间刷新一次cache。

随后我稍微查了下 memcached 的漏洞，发现主要以堆溢出为主，还是陆续存在一些漏洞的，但是感觉研究这块的人不多，可能和安全人员接触memcached不多有关系。而在官方网站上，也只是轻描淡写的描述了几句更新，没有任何细节和分析。

安全人员和生产实际有点脱节，现在流行架构里用到的很多东西研究其安全的人都还不多，主要是由于安全研究人员的知识面和所处环境造成的，很多企业级应用安全人员没有环境接触到。也许以后会慢慢改变这种现状吧.