Finder

KRqemuqemu는 CPU 아키텍처를 소프트웨어 기반으로 에뮬레이팅해주는 툴입니다취약점 설명virtio-crypto.c에서 AKCIPHER 처리 로직에서 터지는 취약접입니다symmetric경로에선 conf.max_size를 사용해 입력 길이 제한을 강제하지만 AKCIPHER 검증이 없습니다따라서 게스트는 큰 값을 할당을 시도할수있으며 게스트에서 호스트를 kill할수있는 취약점이 터지게됩니다PoC#include "qemu/osdep.h" #include "libqtest.h" #include "qemu/bswap.h" #include "standard-headers/linux/virtio_crypto.h" #include "standard-headers/linux/pci_regs.h" #incl..

KRCryptoLibCryptoLib은 NASA의 cFS(core Flight System)가 구동되는 우성체와 지상국 간의 통신을 보호하기 위해 하드웨어 보안 모듈(HSM) 없이 소프트웨어만으로 CCSDS SDLS-EP(Extended Procedures)를 구현한 오픈소스 프로젝트입니다취약점 설명crypto_aos.c 에서 FHECF를 파싱할때 길이 검사가 프레임 최소 길이를 aos_hdr_len(6바이트)만 확인하고, aos_has_fhec == AOS_HAS_FHEC이면 곧바로 p_ingest[6], p_ingest[7]을 읽고 Crypto_Calc_FHECF(p_ingest)를 호출합니다따라서 길이가 6~7바이트로 잘린 AOS 프레임을 넣으면 OOB Read가 트리거됩니다이후 len_ingest..

KRCryptoLibCryptoLib은 NASA의 cFS(core Flight System)가 구동되는 우성체와 지상국 간의 통신을 보호하기 위해 하드웨어 보안 모듈(HSM) 없이 소프트웨어만으로 CCSDS SDLS-EP(Extended Procedures)를 구현한 오픈소스 프로젝트입니다취약점 설명Crypto_Config_Add_Gvcid_Managed_Parameters 함수는 gvcid_counter > GVCID_MAN_PARAM_SIZE 조건만을 검사합니다(src/core/crypto_config.c그 결과 최대 251번째 엔트리까지 허용하게 되며 이는 oob를 트리거하여 gvcid_managed_parameters_array[250] 바로 뒤에 위치한 gvcid_counter를 덮어쓰게 됩니다..

보호되어 있는 글입니다.

BAcnet는에서 저의 첫 cve를 발급받았습니다BAcnet는 빌딩을 제어하는 산업제어용 프로토콜로 건물 자동화 및 제어 시스템을 위해 사용된다고합니다해당 버그는 npdu.c의 NPDU 파싱 로직에서 길이 검증 없이 고정 오프셋으로 바이트를 참조하기 때문에 발생합니다request_pdu[offset+2/3/5] 및 reply_pdu[offset+1/2/4]를 인덱싱을 할때 해당 APDU 바이트가 실제로 존재하는지 검증을 하지않습니다bacnet_npdu_decode()는 는 2바이트짜리 NPDU에 대해 offset == 2를 반환을 해서 작은 PDU들이 버전 체크를 통과한 뒤 oob read가 발생합니다#include #include #include #include #include "bacnet/npdu...