Linux内核观测队列子系统堆溢出漏洞(CVE-2022-0995)分析与利用<\/h1>

漏洞概述<\/h2>
CVE-2022-0995是Linux内核观测队列事件通知子系统(watch_queue event notification subsystem)中的一个堆溢出漏洞。该漏洞自内核版本5.8引入，在5.17-rc7版本中被修复，CVSS评分为7.1。<\/p>

基础知识<\/h2>

通用通知机制(General notification mechanism)<\/h3>

通用通知机制建立在标准管道驱动之上，可以将内核通知消息拼接到用户打开的管道中。通过CONFIG_WATCH_QUEUE<\/code>编译选项启用(默认开启)。<\/p>

关键特性：<\/p>


通过特殊模式打开的管道实现<\/li>
消息保存在管道内部的循环环形缓冲区(pipe_buffer队列)<\/li>
通过read()读取<\/li>
禁用splice功能以防止内容还原时与通知消息交织<\/li>
<\/ul>
Watch Queue API<\/h3>
主要API函数：<\/p>
struct<\/span> watch_queue *<\/span>get_watch_queue<\/span>(int<\/span> fd);  \/\/ 获取观测队列引用
<\/span><\/span><\/span><\/span>void<\/span> put_watch_queue<\/span>(struct<\/span> watch_queue *<\/span>wqueue);  \/\/ 丢弃引用
<\/span><\/span><\/span><\/code><\/pre>事件过滤器(Event Filter)<\/h3>
可以设置过滤器限制接收的事件：<\/p>
struct<\/span> watch_notification_filter filter =<\/span> { ... };
<\/span><\/span>ioctl(fd, IOC_WATCH_QUEUE_SET_FILTER, &<\/span>filter);
<\/span><\/span><\/code><\/pre>数据结构：<\/p>
struct<\/span> watch_notification_filter {
<\/span><\/span>    __u32 nr_filters;
<\/span><\/span>    __u32 __reserved;
<\/span><\/span>    struct<\/span> watch_notification_type_filter filters[];
<\/span><\/span>};
<\/span><\/span>
<\/span><\/span>struct<\/span> watch_notification_type_filter {
<\/span><\/span>    __u32 type;
<\/span><\/span>    __u32 info_filter;
<\/span><\/span>    __u32 info_mask;
<\/span><\/span>    __u32 subtype_filter[8<\/span>];
<\/span><\/span>};
<\/span><\/span><\/code><\/pre>漏洞分析<\/h2>
漏洞位于watch_queue_set_filter()<\/code>函数中，具体问题：<\/p>


不一致的类型检查<\/strong>：<\/p>

计算nr_filter<\/code>时检查type < sizeof(wfilter->type_filter)*8<\/code><\/li>
实际拷贝时检查type < sizeof(wfilter->type_filter)*BITS_PER_LONG<\/code><\/li>
在64位系统上，前者检查type<0x80，后者检查type<0x400<\/li>
<\/ul>
<\/li>

越界写1位漏洞<\/strong>：<\/p>

使用__set_bit()<\/code>设置位时，可以越界修改相邻内存<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用<\/h2>
利用步骤：<\/p>
Step I: 堆喷msg_msg构造重叠对象<\/h3>

创建多个消息队列，每个队列发送两条消息(主消息96字节，辅助消息0x400字节)<\/li>
释放部分主消息制造空洞<\/li>
触发漏洞使两个主消息指向同一个辅助消息<\/li>
<\/ol>
Step II: 构造UAF<\/h3>

释放辅助消息，但仍有消息队列可以访问它<\/li>
<\/ol>
Step III: 堆喷sk_buff泄露地址<\/h3>

使用sk_buff伪造msg_msg结构<\/li>
通过越界读取泄露堆地址<\/li>
<\/ol>
Step IV: 堆喷pipe_buffer泄露内核基址<\/h3>

修复辅助消息头部<\/li>
喷射pipe_buffer结构<\/li>
通过anon_pipe_buf_ops指针计算内核基址<\/li>
<\/ol>
Step V: 劫持控制流<\/h3>

伪造pipe_buffer的ops指针<\/li>
构造ROP链<\/li>
关闭管道触发release函数指针执行ROP<\/li>
<\/ol>
漏洞修复<\/h2>
修复commit主要修改：<\/p>

统一类型检查条件为type >= WATCH_TYPE__NR<\/code><\/li>
将type范围限定为WATCH_TYPE__NR(值为2)<\/li>
<\/ol>
完整利用代码<\/h2>
\/\/ 完整利用代码见原文
<\/span><\/span><\/span>\/\/ 主要包含以下关键部分：
<\/span><\/span><\/span>\/\/ 1. 堆喷msg_msg构造重叠
<\/span><\/span><\/span>\/\/ 2. 触发OOB写
<\/span><\/span><\/span>\/\/ 3. 泄露地址
<\/span><\/span><\/span>\/\/ 4. 构造ROP链
<\/span><\/span><\/span>\/\/ 5. 提权
<\/span><\/span><\/span><\/code><\/pre>总结<\/h2>
该漏洞利用需要深入理解Linux内核多个子系统：<\/p>

观测队列机制<\/li>
消息队列实现<\/li>
网络栈sk_buff结构<\/li>
管道机制<\/li>
<\/ol>
利用技巧结合了：<\/p>

堆布局控制<\/li>
类型混淆<\/li>
UAF<\/li>
内存泄露<\/li>
ROP链构造<\/li>
<\/ul>
修复方案通过统一类型检查条件彻底解决了问题。<\/p>

Linux内核观测队列子系统堆溢出漏洞(CVE-2022-0995)分析与利用<\/h1>

漏洞概述<\/h2> CVE-2022-0995是Linux内核观测队列事件通知子系统(watch_queue event notification subsystem)中的一个堆溢出漏洞。该漏洞自内核版本5.8引入，在5.17-rc7版本中被修复，CVSS评分为7.1。<\/p>

基础知识<\/h2>

漏洞利用<\/h2> 利用步骤：<\/p>

漏洞概述<\/h2>
CVE-2022-0995是Linux内核观测队列事件通知子系统(watch_queue event notification subsystem)中的一个堆溢出漏洞。该漏洞自内核版本5.8引入，在5.17-rc7版本中被修复，CVSS评分为7.1。<\/p>

漏洞利用<\/h2>
利用步骤：<\/p>