E2fsprogs文件系统实用程序远程代码执行漏洞分析

E2fsprogs文件系统实用程序远程代码执行漏洞分析 漏洞概述 Cisco Talos安全研究人员发现E2fsprogs文件系统实用程序中存在一个越界写入漏洞(CVE-2019-5188)，可导致远程代码执行。该漏洞影响E2fsprogs 1.43.3至1.45.3版本，CVSS评分为7.5。 受影响组件 e2fsck ：E2fsprogs中的一个关键组件，用于修复损坏的文件系统 rehash.c文件中的mutate_ name()函数 ：漏洞具体位置 技术背景 E2fsprogs简介 E2fsprogs是一系列用于与ext2、ext3和ext4文件系统交互的实用程序，是Linux和类Unix操作系统的基础组件，默认安装在大多数Linux发行版中。 ext文件系统目录实现机制 ext2、ext3和ext4文件系统中目录的实现使用哈希树(hash tree)在目录中对文件进行唯一映射： 哈希条目存储在 hash_entry 结构体中 哈希条目数目存储在 num_array 中 哈希表完整性要求所有条目必须唯一 漏洞细节 漏洞位置 漏洞存在于 e2fsck 的 rehash.c 文件的 mutate_name() 函数中，涉及目录重哈希功能的滥用。 漏洞触发条件 当哈希冲突发生时，系统会为文件名添加 {~0,~1, ..., ~n} 后缀 变异后的名称被写入磁盘时，使用临时栈缓冲区存储 程序迭代每个 hash_entry 结构体处理冲突时存在缺陷 漏洞原理 栈越界写入 ：在文件名变异过程中，存在栈缓冲区越界写入问题 利用方式 ：攻击者可通过特制的ext4目录利用该漏洞执行代码 前提条件 ：需要先损坏一个分区才能触发漏洞 平台影响差异 64位系统 ：利用可能性较低，因为栈空间不足且缺乏用户控制的方法来扩展栈 32位系统 ：利用可能性更高，具体结果取决于二进制文件本身及其编译方式 影响范围 受影响版本 ：E2fsprogs 1.43.3至1.45.3 默认安装 ：大多数Linux发行版默认安装此软件 潜在危害 ：远程代码执行 修复方案 厂商已发布更新修复该漏洞，建议用户： 升级到E2fsprogs 1.45.4或更高版本 检查系统中e2fsck的版本 应用相关Linux发行版的安全更新 防御建议 及时更新系统和软件包 限制对文件系统修复工具的访问权限 监控异常的文件系统操作 在关键系统上考虑使用完整性检查机制 总结 该漏洞展示了即使是基础系统组件也可能存在严重安全问题，强调了深度防御和及时更新的重要性。系统管理员应特别关注文件系统相关工具的安全更新，因为这类漏洞可能被用于提升权限或破坏系统完整性。