CVE-2025-37782漏洞分析与复现技术文档<\/h1>

1. 环境配置<\/h2>

1.1 系统要求<\/h3>

Linux系统<\/li>

启用内核编译选项：

HFS_FS<\/code>和HFSPLUS_FS<\/code><\/li>
<\/ul>
1.2 磁盘准备<\/h3>

创建磁盘镜像文件：<\/li>
<\/ol>
qemu-img create -f raw disk1.img 1G
<\/span><\/span><\/code><\/pre>

在QEMU中挂载磁盘设备<\/p>
<\/li>

初始化磁盘（无需分区）：<\/p>
<\/li>
<\/ol>
mkfs.hfsplus \/dev\/vda
<\/span><\/span>mount \/dev\/vda \/mnt
<\/span><\/span><\/code><\/pre>2. 前置知识<\/h2>
2.1 HFS与HFS+文件系统<\/h3>

HFS<\/strong>：Mac OS默认文件系统，可在Linux中读写

特点：

支持大文件<\/li>
使用B树结构管理文件和目录<\/li>
提供文件权限和访问控制<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
HFS+<\/strong>：HFS升级版

支持更大的文件和分区<\/li>
提供更高级的特性<\/li>
<\/ul>
<\/li>
<\/ul>
2.2 HFS的B树结构<\/h3>


每个节点(node)包含多个page，用于存放：<\/p>

record<\/li>
key<\/li>
entry<\/li>
node信息<\/li>
<\/ul>
<\/li>

内存布局：<\/p>
<\/li>
<\/ul>
[节点信息][data...][...record]
<\/code><\/pre>


record信息从末尾开始逆序存放<\/p>
<\/li>

data信息从偏移14处正序存放<\/p>
<\/li>

关键特性：<\/p>

只有叶子节点保存目录信息<\/li>
非叶子节点只保存子节点的最小键信息，用于索引<\/li>
最小键永远为偏移14处的第一个record<\/li>
<\/ul>
<\/li>
<\/ul>
3. 漏洞分析<\/h2>
3.1 漏洞位置<\/h3>

问题函数：hfs_bnode_read_key<\/code>和hfsplus_bnode_read_key<\/code><\/li>
根本原因：未检查key_len<\/code>导致溢出漏洞<\/li>
<\/ul>
3.2 漏洞触发流程<\/h3>

创建目录时的调用链：<\/li>
<\/ol>
hfs_cat_create → hfs_brec_insert
<\/code><\/pre>

插入两次record：

插入entry为目录名，key为空的brec<\/li>
插入key为目录名，entry为cnid的brec<\/li>
<\/ol>
<\/li>
<\/ul>


hfs_find_init<\/code>初始化fd信息：<\/p>

search_key<\/code>大小为tree->max_key_len + 2<\/code><\/li>
max_key_len<\/code>固定为HFS_MAX_EXT_KEYLEN<\/code>或HFS_MAX_CAT_KEYLEN<\/code>(0x25)<\/li>
<\/ul>
<\/li>

漏洞触发条件：<\/p>

当节点空间不足时，会调用hfs_bnode_split<\/code>分裂节点<\/li>
分裂过程中未对新节点的record进行key_len<\/code>检查<\/li>
直接读取新节点最小键值record到fd->search_key<\/code>，可能导致溢出<\/li>
<\/ul>
<\/li>
<\/ol>
3.3 漏洞利用关键点<\/h3>

通过修改磁盘文件直接控制key_len<\/code><\/li>
常规访问会通过hfs_brec_keylen<\/code>检查key_len<\/code><\/li>
但分裂过程中访问的record不会被检查<\/li>
构造特殊目录结构使非法record不被常规访问检查<\/li>
<\/ul>
4. 漏洞复现(POC)<\/h2>
4.1 准备步骤<\/h3>

创建两个测试目录：<\/li>
<\/ol>
mkdir dir1
<\/span><\/span>mkdir dir2
<\/span><\/span><\/code><\/pre>
使用hexedit修改磁盘文件：

定位到节点结构<\/li>
确保目标record位于节点后半部分<\/li>
修改record的key_len<\/code>为非法值(如将0x24改为0x64)<\/li>
<\/ul>
<\/li>
<\/ol>
4.2 触发漏洞<\/h3>
创建特殊名称目录触发节点分裂：<\/p>
mkdir 000000000000000000000000000000<\/span>
<\/span><\/span><\/code><\/pre>4.3 预期结果<\/h3>

内核访问分裂后的新节点最小record<\/li>
由于未检查key_len<\/code>，导致search_key<\/code>缓冲区溢出<\/li>
可能造成内核崩溃或权限提升<\/li>
<\/ul>
5. 漏洞修复<\/h2>
5.1 官方补丁<\/h3>

在hfs_bnode_read_key<\/code>和hfsplus_bnode_read_key<\/code>中添加key_len<\/code>检查<\/li>
<\/ul>
5.2 完整修复建议<\/h3>

不仅应在读取时检查key_len<\/code><\/li>
还应在节点分裂过程中对所有record进行验证<\/li>
考虑在mount时验证磁盘上B树结构的完整性<\/li>
<\/ul>
6. 总结<\/h2>

该漏洞是HFS\/HFS+文件系统实现中的逻辑漏洞<\/li>
主要问题在于节点分裂过程中缺乏完整性检查<\/li>
利用需要：

构造特殊目录结构<\/li>
直接修改磁盘文件<\/li>
<\/ul>
<\/li>
漏洞影响：

可能导致内核内存破坏<\/li>
潜在权限提升风险<\/li>
<\/ul>
<\/li>
分析难点：

补丁只解决了表面问题<\/li>
实际漏洞点隐藏在复杂的B树操作逻辑中<\/li>
需要深入理解HFS文件系统实现细节<\/li>
<\/ul>
<\/li>
<\/ol>
7. 扩展思考<\/h2>

类似文件系统实现中的其他潜在问题<\/li>
内核文件系统模块的通用安全加固方法<\/li>
磁盘数据验证在文件系统安全中的重要性<\/li>
复杂数据结构操作中的边界条件检查<\/li>
<\/ol>
8. 参考资源<\/h2>

官方漏洞公告：CVE-2025-37782<\/li>
Linux内核源码：fs\/hfs\/ 和 fs\/hfsplus\/<\/li>
HFS\/HFS+文件系统规范文档<\/li>
Linux内核B树实现原理<\/li>
<\/ol>

CVE-2025-37782漏洞分析与复现技术文档<\/h1>

1. 环境配置<\/h2>

2. 前置知识<\/h2>

3. 漏洞分析<\/h2>

4. 漏洞复现(POC)<\/h2>

5. 漏洞修复<\/h2>

8. 参考资源<\/h2> 官方漏洞公告：CVE-2025-37782<\/li> Linux内核源码：fs\/hfs\/ 和 fs\/hfsplus\/<\/li> HFS\/HFS+文件系统规范文档<\/li> Linux内核B树实现原理<\/li> <\/ol>

8. 参考资源<\/h2>

官方漏洞公告：CVE-2025-37782<\/li>
Linux内核源码：fs\/hfs\/ 和 fs\/hfsplus\/<\/li>
HFS\/HFS+文件系统规范文档<\/li>
Linux内核B树实现原理<\/li> <\/ol>