2014/10/28

Linux,Openindiana:stringsコマンドに信用できないファイルを渡すな

日本のブログではまだ報じられていないがまたしてもGNUのツールに脆弱性です。
stringsという、バイナリファイルの中の文字列を探し出して表示するプログラムに脆弱性が発見。
lcamtuf's blog: PSA: don't run 'strings' on untrusted files (CVE-2014-8485)
この記事によると、GNUのstringsは実行ファイルの読み込みの高速処理のためにlibbfdを使っていて、
それの脆弱性によってSIGSEGV発生やメモリーの書き換えができる。英語がうまくよめないがstringsコマンドが読んだ実行ファイルの一部が実行されるかもしれない。
またGNUのobjdumpsもreadelfも同じ。あぶない。
サンプル実行ファイルが同時にアップロードされています。
しかもこいつはgdbに読ませるとありえないことにデバッガがSIGSEGVを起こします。つまり、gdbもlibbfdを使っている、ということです。
このバグは9年前からある可能性があるとのことです。
util-linuxに入っているstringsはこの症状がないとのことです。
セキュリティチームの皆さんは注意してください。
スポンサーサイト