Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant disposant d’un serveur CIFS/SMB illicite peut
renvoyer une réponse spéciale vers le client CIFS du noyau Linux,
afin de corrompre sa mémoire.

– Gravité : 2/4
– Date création : 24/08/2011

PRODUITS CONCERNÉS

– Linux noyau

DESCRIPTION DE LA VULNÉRABILITÉ

Le Noyau Linux comporte un client CIFS, qui permet de monter un
partage CIFS/SMB distant.

Le protocole CIFS/SMB utilise des transactions pour échanger des
messages longs. Les commandes permettant de lister un répertoire
utilisent les sous-commandes FindFirst et FindNext des
transactions de type 2. La commande FindNext contient un champ
ResumeFileName, qui indique le dernier fichier de la précédente
réponse, et permet de chaîner les échanges.

Cependant, si la taille indiquée pour le champ ResumeFileName est
supérieure à 2Go, elle est interprétée comme un entier signé
négatif par la fonction CIFSFindNext() du fichier
fs/cifs/cifssmb.c. La vérification "if (name_len >= PATH_MAX)
error ;" est alors contournée. Le champ ResumeFileName du paquet
CIFS est ensuite copié sur 2Go via memcpy() dans la variable
pSMB->ResumeFileName du noyau. Un débordement se produit alors.

Un attaquant disposant d’un serveur CIFS/SMB illicite peut donc
renvoyer une réponse spéciale vers le client CIFS du noyau Linux,
afin de corrompre sa mémoire. Pour mettre en oeuvre cette
vulnérabilité, l’attaquant doit avoir compromis un serveur CIFS
sur lequel la victime viendra se connecter.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Noyau-Linux-corruption-de-memoire-de-CIFSFindNext-10947