cURL OS/400 LDAP缓冲区溢出漏洞分析

漏洞描述

该漏洞是一个栈缓冲区溢出漏洞，存在于cURL源代码中特定于OS/400（IBM i）平台的packages/OS400/os400sys.c文件中。

受影响组件：

• 文件：curl/packages/OS400/os400sys.c
• 函数：static char Curl_ldap_err2string(char cp, char *cp2)
• 漏洞行：第741、773和804行，每行包含以下结构：

1

strcpy(cp, cp2);

漏洞机制： 函数Curl_ldap_err2string使用不安全的strcpy()函数将源字符串（cp2）复制到目标缓冲区（cp）。源字符串cp2由LDAP服务器返回的错误消息填充，这意味着其长度和内容完全可以通过恶意服务器响应由攻击者控制。

strcpy()函数在执行复制操作时不对目标缓冲区cp进行任何边界检查。如果攻击者精心构造的错误消息（在cp2中）长于为cp分配的大小，该操作将导致栈上的越界写入。

影响： 此漏洞直接导致cURL进程崩溃，造成拒绝服务（DoS）。由于栈损坏的性质，通过覆盖cURL客户端中关键内存结构（如函数返回指针），在针对OS/400平台的cURL客户端上具有高/严重级别的远程代码执行（RCE）潜力。

复现步骤（概念验证）

通过使用内存检测工具（ASAN）构建cURL，并针对本地控制的恶意LDAP服务器执行来确认该漏洞。

前提条件：

• cURL源代码（目标版本包含易受攻击的os400sys.c文件）
• Linux环境（例如Kali），配备必要的开发包（autoconf、libtool、libssl-dev、libpsl-dev）
• 能够运行LDAP服务器并发送大型恶意错误字符串的Python脚本（rogue_ldap.py）

步骤1：使用地址清理器（ASAN）编译cURL 配置cURL源代码以进行内存安全检查，并启用所需的LDAP/OpenSSL功能。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

# 1. 导航到cURL源代码目录
cd ~/curl
# 2. 设置ASAN编译器和链接器标志
export CFLAGS="-fsanitize=address -fno-omit-frame-pointer -O1 -g"
export LDFLAGS="-fsanitize=address"
# 3. 重新生成配置文件
autoreconf -fi
# 4. 配置构建，启用LDAP和OpenSSL
./configure --with-ldap --with-openssl
# 5. 编译经过检测的curl二进制文件（这将创建./src/curl）
make

步骤2：启动恶意LDAP服务器（终端1） 在第一个终端窗口中，启动恶意服务器脚本。

1
2

python3 rogue_ldap.py
（服务器必须确认正在监听：[*] Rogue LDAP server listening on 127.0.0.1:389）

步骤3：执行易受攻击的客户端（终端2） 在第二个终端窗口中，针对恶意服务器执行新编译的经过ASAN检测的客户端。

1
2

cd ~/curl
./src/curl ldap://127.0.0.1:389/

预期结果（证据）： ASAN运行时将立即检测到由strcpy操作导致的缓冲区溢出，并终止进程，生成清晰的诊断报告。

ASAN输出片段（示例证明）：

1
2
3
4
5

==ERROR: AddressSanitizer: stack-buffer-overflow on address 0xXXXXXXXX at pc 0xYYYYYY...
WRITE of size XXX at 0xXXXXXXXX by thread T0
#0 0xYYYYYY in Curl_ldap_err2string packages/OS400/os400sys.c:741:5
#1 0xZZZZZZ in <Calling_Function_Name> (导致漏洞函数的路径)
...（完整回溯）

此输出确认在代码的漏洞行发生了越界内存写入。

建议修复

用边界检查的替代方案替换不安全的strcpy()函数，以防止缓冲区溢出。正确的修复需要知道cp缓冲区的分配大小。

建议： 将所有strcpy(cp, cp2);实例替换为安全的字符串复制机制，理想情况下使用cURL内部的内存安全字符串函数，或者通过确定目标缓冲区的大小（size_cp）并使用类似strncat的函数或自定义包装器。

安全模式示例：

1
2
3

/* 确保size_cp是'cp'缓冲区的已知大小 */
strncpy(cp, cp2, size_cp - 1);
cp[size_cp - 1] = '\0';

影响

潜在影响分为三个主要类别，按严重性排序：

拒绝服务（DoS）- 高严重性 这是最容易和最可靠实现的影响。

• 机制： 当恶意、过大的LDAP错误字符串被strcpy复制到小的目标缓冲区（cp）时，它会立即覆盖栈上的相邻数据，破坏进程的内部状态。
• 结果： 应用程序（cURL客户端）将立即崩溃。由于LDAP服务器可以控制时间和负载，攻击者可以可靠且重复地使任何使用易受攻击的OS/400 cURL库构建的应用程序在尝试连接到受控LDAP端点时崩溃。

信息泄露 - 中等严重性

• 机制： 虽然主要操作是覆盖，但由此产生的内存损坏或随后的崩溃可能导致栈或相邻堆内存的内容被不当处理，可能暴露存储在覆盖缓冲区附近的敏感数据。
• 结果： 攻击者可能泄露内部应用程序状态、指针或其他内存内容，这可能有助于利用或泄露敏感的运行时数据。

远程代码执行（RCE）- 严重严重性 这是利用栈缓冲区溢出的最终目标。

• 机制： 攻击者可以精心构造过大的LDAP错误字符串（负载）来覆盖栈上存储的函数返回地址。当易受攻击的函数（Curl_ldap_err2string）完成时，程序执行流不会返回到合法的调用代码，而是被重定向到攻击者在其负载中指定的位置。
• 结果： 攻击者获得程序执行的控制权，允许他们在运行cURL应用程序的用户上下文中执行任意代码。在OS/400（IBM i）系统上，这可能导致用户账户和相关系统资源的完全被攻陷。

项目方回应

项目维护者指出报告中提到的函数static char Curl_ldap_err2string(char cp, char *cp2)在cURL源代码中并不存在，认为该报告是虚构的，并将报告状态标记为垃圾信息，同时禁止了提交者。