curl中的TFTP实现:整数下溢导致堆内存越界读取漏洞

漏洞概述

在 curl 的 TFTP 协议实现中发现了一个漏洞,该漏洞可能导致 curl 或使用 libcurl 的应用程序在特定条件下,向恶意的 TFTP 服务器发送超出已分配内存块边界的内存数据。

该漏洞存在于 commit 3ee1d3b5 的 libcurl 中,具体位于 lib/tftp.c 文件的 tftp_send_first() 函数。

漏洞详情

代码分析

漏洞核心代码如下 (lib/tftp.c 文件,tftp_send_first() 函数,第467行附近):

c 复制代码
1 if(strlen(filename) > (state->blksize - strlen(mode) - 4)) {
2   // [...]
3 }
4
5 curl_msnprintf((char *)state->spacket.data + 2,
6                state->blksize,
7                "%s%c%s%c", filename, '\0', mode, '\0');
8 sbytes = 4 + strlen(filename) + strlen(mode);
9
10 // [...]
11
12 senddata = sendto(state->sockfd, (void *)state->spacket.data,
13                  (SEND_TYPE_ARG3)sbytes, 0,
14                  CURL_SENDTO_ARG5(&remote_addr->curl_sa_addr),
15                  (curl_socklen_t)remote_addr->addrlen);

触发条件

当满足以下条件时,漏洞可以被触发:

  1. 使用特定选项调用 curl :通过 --tftp-no-options 参数调用 curl,或者 libcurl 的使用者设置了 CURLOPT_TFTP_NO_OPTIONS 为 1。
  2. 恶意TFTP服务器:一个恶意的 TFTP 服务器与 curl 进行通信。
  3. 协商最小块大小 :服务器将传输的块大小 (state->blksize) 协商为一个较小的值(例如 8)。mode 保持默认值 "octet"(长度为 5)。

当这些条件满足时,第467行的边界检查代码会变成:

c 复制代码
if(strlen(filename) > (8 /* state->blksize */ - 5 /* strlen(mode) */ - 4)) {

计算 8 - 5 - 4 = -1,导致一个整数下溢 。这使得检查条件的结果总是为 false,即使文件名非常长,原本的边界检查也会被绕过。

随后,第8行根据文件名的实际长度计算要发送的字节数 (sbytes),但这个长度可能已经超过了已分配的缓冲区大小。紧接着的第12行 sendto 调用就可能发送超出缓冲区边界的数据。

影响

此漏洞的潜在影响是信息泄露,即可能将堆内存中的内容发送给恶意的 TFTP 服务器。

然而,curl 的开发团队在评估后认为,该漏洞的严重性为 LOW(低),甚至仅被视为一个普通的 Bug。主要原因如下:

  • 触发条件苛刻:需要同时满足多个不太常见的条件:必须开启 TFTP no options 模式,并且需要服务器将块大小协商到一个极小的值。
  • 攻击难度高:利用该漏洞读取到有价值信息(如密码、密钥等)的难度非常高。攻击者很难精确控制堆内存的布局以及泄漏的内容。
  • 利用场景罕见:需要用户或应用程序允许跨协议重定向(例如从 HTTP 重定向到 TFTP),这在现实世界中极为罕见。即使存在,也意味着应用程序允许不安全的 UDP 明文传输,本身就是一个弱安全模型。
  • 实际影响有限:即使成功触发,大多数情况下只会导致程序崩溃。在文件名极长(超过503字节)的情况下,才有可能读取到相邻内存区域的数据。但构造如此长的文件路径在实践中也较为少见。

修复方案

curl 的开发团队已经修复了此问题。修复的 Pull Request 为:github.com/curl/curl/p...

修复的核心在于修正了边界检查的逻辑,避免整数下溢的发生。

修复代码示例:

diff 复制代码
-    if(strlen(filename) > (state->blksize - strlen(mode) - 4)) {
+    if(strlen(filename) + strlen(mode) + 4 > state->blksize) {
       failf(data, "TFTP filename too long");
       curlx_free(filename);
       return CURLE_TFTP_ILLEGAL; /* too long filename field */
     }

-    curl_msnprintf((char *)state->spacket.data + 2,
-                   state->blksize,
-                   "%s%c%s%c", filename, '\0', mode, '\0');
-    sbytes = 4 + strlen(filename) + strlen(mode);
+    sbytes = 2 +
+      curl_msnprintf((char *)state->spacket.data + 2,
+                     state->blksize,
+                     "%s%c%s%c", filename, '\0', mode, '\0');
     curlx_free(filename);

新的代码通过将各部分长度相加后再与缓冲区大小进行比较,从根本上杜绝了整数下溢的可能性。同时,sbytes 的计算也改为基于 curl_msnprintf 的实际返回值,更加准确和安全。FINISHED biOK/hzhVF2yKaGc5mK8oeejIYuUYW8I3RsXQCFCiXXSrEl8bonoS+c8zsMSKu1g

相关推荐
半盏药香10 分钟前
由于jinja2的starlette版本过高引发的问题:500 Server Error TypeError: unhashable type: 'dict'
人工智能
阿里云大数据AI技术11 分钟前
MiniMax M3、Kimi K2.7 Code来啦!PAI已支持一键部署,开源前沿触手可及
人工智能·agent
百度Geek说19 分钟前
AI Coding 的底层框架:一切优化都是在对抗熵增
人工智能
Java研究者38 分钟前
AI智能体研发 | 什么是OpenAI API协议
人工智能·大模型·openai·api·agent·智能体
只是没名字1 小时前
Codex CLI Windows 新手安装教程:从 Node.js 到首次运行
人工智能
用户8630652696131 小时前
Krea 2 LoRA 训练全流程踩坑记录:从打标到双卡并行的 Windows 原生实战
人工智能
木雷坞3 小时前
让 AI 编程助手跑得起项目:Dev Container 实践记录
人工智能
leeyi3 小时前
MCP 工具集成:外部工具变 Eino Tool
aigc·agent·mcp
腾讯云开发者4 小时前
港科大郭毅可谈Agentic AI时代的核心命题:人机共生,人不可能退场
人工智能
常丛丛4 小时前
5.6 LangGraph-Edges理解-Agent图的道路系统
人工智能