Target CVEs#

Description#

CVE-2009-3895

Aggregating intelligence...

Aggregating intelligence...

Compile#

Download#

git clone https://github.com/libexif/libexif.git
cd libexif && git checkout libexif-0_6_14-release

Build#

这里由于我在 make 的时候有关生成文档的地方报错了，所以我手动将文档部分 patch 掉：

1
SUBDIRS = m4m po libexif test doc binary
2
SUBDIRS = m4m po libexif test binary

autoreconf -fvi
CC=clang CXX=clang++ CFLAGS="-O0 -g -fno-inline -fno-builtin -fno-omit-frame-pointer" CXXFLAGS="$CFLAGS" ./configure --enable-shared=no --prefix="$PWD/../workshop/lib-debug/"
make -j`nproc` && make install
make clean

CC=afl-clang-lto CXX=afl-clang-lto++ ./configure --enable-shared=no --prefix="$PWD/../workshop/lib-fuzz/"
make -j`nproc` && make install

由于 libexif 只是一个库，所以我们要 fuzz 它需要自己找个前端，或者手写 harness 。方便起见，我直接使用 exif 作为前端。

git clone https://github.com/libexif/exif.git
cd exif && git checkout exif-0_6_15-release
autoreconf -fvi
CC=clang CXX=clang++ CFLAGS="-O0 -g -fno-inline -fno-builtin -fno-omit-frame-pointer" CXXFLAGS="$CFLAGS" PKG_CONFIG_PATH="$PWD/../workshop/lib-debug/lib/pkgconfig/" ./configure --enable-shared=no --prefix="$PWD/../workshop/exif-debug"
make -j`nproc` && make install
make clean

CC=afl-clang-lto CXX=afl-clang-lto++ PKG_CONFIG_PATH="$PWD/../workshop/lib-fuzz/lib/pkgconfig/" ./configure --enable-shared=no --prefix="$PWD/../workshop/exif-fuzz"
make -j`nproc` && make install

Samples#

1
#!/usr/bin/env python3
2

3
import struct
4
import os
5

6
def pack_data(fmt, endian, *args):
7
    return struct.pack(('<' if endian == 'LE' else '>') + fmt, *args)
8

9
class ExifGenerator:
10
    def __init__(self, endian='LE'):
11
        self.endian = endian
12
        self.entries = []
13
        self.data_blobs = b''
14

15
    def add_entry(self, tag, data_type, count, value):
16
        self.entries.append({'tag': tag, 'type': data_type, 'count': count, 'value': value})
17

18
    def build_ifd(self, start_offset, next_ifd_offset=0):
19
        ifd_data = pack_data('H', self.endian, len(self.entries))
20
        data_offset = start_offset + 2 + (len(self.entries) * 12) + 4
21

22
        entry_bytes = b''
23
        blob_bytes = b''
24

25
        for e in self.entries:
26
            val_bytes = b''
27
            raw_blob = None
28

29
            if e['type'] == 1: # BYTE
30
                if isinstance(e['value'], int): raw_blob = pack_data('B', self.endian, e['value'])
31
                else: raw_blob = e['value']
32
            elif e['type'] == 2: # ASCII
33
                raw_blob = e['value'].encode('ascii') + b'\x00'
34
            elif e['type'] == 3: # SHORT
35
                if e['count'] == 1: raw_blob = pack_data('H', self.endian, e['value'])
36
                else: raw_blob = pack_data('H'*e['count'], self.endian, *e['value'])
37
            elif e['type'] == 4: # LONG
38
                if e['count'] == 1: raw_blob = pack_data('I', self.endian, e['value'])
39
                else: raw_blob = pack_data('I'*e['count'], self.endian, *e['value'])
40
            elif e['type'] == 5: # RATIONAL
41
                raw_blob = pack_data('II', self.endian, e['value'][0], e['value'][1])
42
            elif e['type'] == 7: # UNDEFINED
43
                raw_blob = e['value']
44
            elif e['type'] == 10: # SRATIONAL
45
                raw_blob = pack_data('ii', self.endian, e['value'][0], e['value'][1])
46

47
            if len(raw_blob) <= 4:
48
                val_bytes = raw_blob.ljust(4, b'\x00')
49
            else:
50
                off = data_offset + len(blob_bytes)
51
                val_bytes = pack_data('I', self.endian, off)
52
                blob_bytes += raw_blob
53

54
            entry_bytes += pack_data('HHII', self.endian, e['tag'], e['type'], e['count'], struct.unpack('<I' if self.endian == 'LE' else '>I', val_bytes)[0])
55

56
        return ifd_data + entry_bytes + pack_data('I', self.endian, next_ifd_offset) + blob_bytes
57

58
def create_complex_exif(endian='LE'):
59
    # 1. Build Exif SubIFD
60
    exif = ExifGenerator(endian)
61
    exif.add_entry(0x9003, 2, 20, "2026:02:24 14:00:00")
62
    exif.add_entry(0x829a, 5, 1, (1, 100))
63
    exif.add_entry(0x829d, 5, 1, (28, 10))
64
    exif.add_entry(0x9204, 10, 1, (-1, 3))
65
    exif.add_entry(0x9286, 7, 8, b"USERCOM\x00")
66
    exif_sub_data = exif.build_ifd(0) # Length check only first
67

68
    # 2. Build GPS IFD
69
    gps = ExifGenerator(endian)
70
    gps.add_entry(0x0000, 1, 4, b'\x02\x02\x00\x00')
71
    gps.add_entry(0x0002, 5, 3, (1, 1)) # This will actually need 3 rationals, but let's keep it simple
72
    # Fix: GPS Latitude is 3 rationals
73
    gps.entries[-1] = {'tag': 0x0002, 'type': 5, 'count': 3, 'value': (40, 1, 30, 1, 15, 1)}
74
    gps_data = gps.build_ifd(0)
75

76
    # 3. Build IFD0
77
    ifd0 = ExifGenerator(endian)
78
    ifd0.add_entry(0x010e, 2, 11, "Fuzz Test")
79
    ifd0.add_entry(0x0110, 2, 11, "Gemini Cam")
80
    ifd0.add_entry(0x8769, 4, 1, 0) # ExifOffset
81
    ifd0.add_entry(0x8825, 4, 1, 0) # GPSInfo
82

83
    # IFD0 fixed size: 2 + 4*12 + 4 = 54. Blobs: 11 + 11 = 22. Total = 76.
84
    ifd0_total_len = 76
85
    exif_offset = 8 + ifd0_total_len
86
    gps_offset = exif_offset + len(exif_sub_data)
87

88
    for e in ifd0.entries:
89
        if e['tag'] == 0x8769: e['value'] = exif_offset
90
        if e['tag'] == 0x8825: e['value'] = gps_offset
91

92
    final_ifd0 = ifd0.build_ifd(8)
93
    final_exif = exif.build_ifd(exif_offset)
94
    final_gps = gps.build_ifd(gps_offset)
95

96
    header = b'II\x2a\x00\x08\x00\x00\x00' if endian == 'LE' else b'MM\x00\x2a\x00\x00\x00\x08'
97
    return header + final_ifd0 + final_exif + final_gps
98

99
def save_corpus(name, data, add_exif_header=False):
100
    os.makedirs('corpus/exif', exist_ok=True)
101
    with open(os.path.join('corpus/exif', name), 'wb') as f:
102
        if add_exif_header: f.write(b'Exif\x00\x00')
103
        f.write(data)
104
    print(f"Created {name}")
105

106
if __name__ == "__main__":
107
    save_corpus('rich_le.exif', create_complex_exif('LE'), True)
108
    save_corpus('rich_be.exif', create_complex_exif('BE'), True)
109

110
    SOI, APP1 = b'\xff\xd8', b'\xff\xe1'
111
    exif_payload = b'Exif\x00\x00' + create_complex_exif('LE')
112
    app1_data = APP1 + struct.pack('>H', len(exif_payload) + 2) + exif_payload
113
    save_corpus('rich_jpeg.jpg', SOI + app1_data + b'\xff\xd9')
114
    save_corpus('raw_tiff.exif', create_complex_exif('LE'), False)

Fuzzing#

AFLplusplus go work: afl-fuzz -i - -o out/ -s 1337 -- ./exif-fuzz/bin/exif @@.

这个 Gemini Cam 还挺滑稽的哈哈哈：

13 个 crashes，4 个 hangs，其中有这几种独立的 crash 情况：

Program received signal SIGSEGV, Segmentation fault.
0x00007ffff7e595c1 in memcpy () from /usr/lib64/libc.so.6
#0  0x00007ffff7e595c1 in memcpy () from /usr/lib64/libc.so.6
#1  0x0000555555565553 in exif_data_load_data_thumbnail (data=0x5555555931e0, d=0x555555595986 "II*", ds=256, offset=4294967168, size=232) at exif-data.c:292
#2  0x0000555555563d05 in exif_data_load_data_content (data=0x5555555931e0, ifd=EXIF_IFD_EXIF, d=0x555555595986 "II*", ds=256, offset=86, recursion_depth=1) at exif-data.c:381
#3  0x0000555555563b36 in exif_data_load_data_content (data=0x5555555931e0, ifd=EXIF_IFD_0, d=0x555555595986 "II*", ds=256, offset=10, recursion_depth=0) at exif-data.c:361
#4  0x0000555555563621 in exif_data_load_data (data=0x5555555931e0, d_orig=0x555555595980 "Exif", ds_orig=262) at exif-data.c:813
#5  0x000055555556cb9b in exif_loader_get_data (loader=0x555555593190) at exif-loader.c:387
#6  0x000055555555f73e in main (argc=2, argv=0x7fffffffdca8) at main.c:438

Program received signal SIGSEGV, Segmentation fault.
0x000055555556e60f in exif_get_slong (b=0x5555555b2000 <error: Cannot access memory at address 0x5555555b2000>, order=EXIF_BYTE_ORDER_INTEL) at exif-utils.c:129
129     return ((b[3] << 24) | (b[2] << 16) | (b[1] << 8) | b[0]);
#0  0x000055555556e60f in exif_get_slong (b=0x5555555b2000 <error: Cannot access memory at address 0x5555555b2000>, order=EXIF_BYTE_ORDER_INTEL) at exif-utils.c:129
#1  0x000055555556e49f in exif_get_long (buf=0x5555555b2000 <error: Cannot access memory at address 0x5555555b2000>, order=EXIF_BYTE_ORDER_INTEL) at exif-utils.c:156
#2  0x0000555555566026 in exif_entry_fix (e=0x555555593460) at exif-entry.c:189
#3  0x0000555555562d6d in fix_func (e=0x555555593460, data=0x0) at exif-content.c:211
#4  0x0000555555562a13 in exif_content_foreach_entry (content=0x555555593270, func=0x555555562d50 <fix_func>, data=0x0) at exif-content.c:185
#5  0x0000555555562bdc in exif_content_fix (c=0x555555593270) at exif-content.c:225
#6  0x0000555555565481 in fix_func (c=0x555555593270, data=0x0) at exif-data.c:1082
#7  0x00005555555650ca in exif_data_foreach_content (data=0x5555555931e0, func=0x5555555653e0 <fix_func>, user_data=0x0) at exif-data.c:965
#8  0x00005555555643d4 in exif_data_fix (d=0x5555555931e0) at exif-data.c:1087
#9  0x0000555555563886 in exif_data_load_data (data=0x5555555931e0, d_orig=0x555555595980 "", ds_orig=82) at exif-data.c:826
#10 0x000055555556cbeb in exif_loader_get_data (loader=0x555555593190) at exif-loader.c:368
#11 0x000055555555f75e in main (argc=2, argv=0x7fffffffdbe8) at main.c:438

Program received signal SIGSEGV, Segmentation fault.
0x000055555556e3d2 in exif_get_sshort (buf=0x555655595985 <error: Cannot access memory at address 0x555655595985>, order=EXIF_BYTE_ORDER_INTEL) at exif-utils.c:92
92     return ((buf[1] << 8) | buf[0]);
#0  0x000055555556e3d2 in exif_get_sshort (buf=0x555655595985 <error: Cannot access memory at address 0x555655595985>, order=EXIF_BYTE_ORDER_INTEL) at exif-utils.c:92
#1  0x000055555556e33f in exif_get_short (buf=0x555655595985 <error: Cannot access memory at address 0x555655595985>, order=EXIF_BYTE_ORDER_INTEL) at exif-utils.c:100
#2  0x0000555555563671 in exif_data_load_data (data=0x5555555931e0, d_orig=0x555555595980 "Exif", ds_orig=61) at exif-data.c:775
#3  0x000055555556cbeb in exif_loader_get_data (loader=0x555555593190) at exif-loader.c:368
#4  0x000055555555f75e in main (argc=2, argv=0x7fffffffdbe8) at main.c:438

hang 的情况比较唯一，全是卡在 exif_loader_write 这里：

这里附赠一个我看各个崩溃回溯的脚本：

1
#!/usr/bin/env bash
2

3
TARGET="./exif-debug/bin/exif"
4
CRASH_DIR="./out/default/crashes"
5
OUTPUT_LOG="crash_reports.txt"
6

7
>"$OUTPUT_LOG"
8

9
echo "[+] Analysing crashes in $CRASH_DIR..."
10

11
for crash_file in "$CRASH_DIR"/id:*; do
12
  [ -e "$crash_file" ] || continue
13

14
  echo "--------------------------------------------------" >>"$OUTPUT_LOG"
15
  echo "File: $(basename "$crash_file")" >>"$OUTPUT_LOG"
16

17
  gdb --batch \
18
    --ex "run" \
19
    --ex "bt" \
20
    --ex "quit" \
21
    --args "$TARGET" "$crash_file" >>"$OUTPUT_LOG" 2>&1
22

23
  echo -e "\n" >>"$OUTPUT_LOG"
24
done
25

26
echo "[+] Done! Result in: $OUTPUT_LOG"

Analysis#

这个项目有 API 文档，不用自己猜函数功能了：libexif Project Documentation.

~~好的，继续玩 MC，快开学了，谁学啊！？~~

CVE-2012-2836#

先分析一下这个样本，栈回溯如下：

#0  0x00007ffff7e595c1 in memcpy () from /usr/lib64/libc.so.6
#1  0x0000555555565553 in exif_data_load_data_thumbnail (data=0x5555555931e0, d=0x555555595986 "II*", ds=256, offset=4294967168, size=232) at exif-data.c:292
#2  0x0000555555563d05 in exif_data_load_data_content (data=0x5555555931e0, ifd=EXIF_IFD_EXIF, d=0x555555595986 "II*", ds=256, offset=86, recursion_depth=1) at exif-data.c:381
#3  0x0000555555563b36 in exif_data_load_data_content (data=0x5555555931e0, ifd=EXIF_IFD_0, d=0x555555595986 "II*", ds=256, offset=10, recursion_depth=0) at exif-data.c:361
#4  0x0000555555563621 in exif_data_load_data (data=0x5555555931e0, d_orig=0x555555595980 "Exif", ds_orig=262) at exif-data.c:813
#5  0x000055555556cb9b in exif_loader_get_data (loader=0x555555593190) at exif-loader.c:387
#6  0x000055555555f73e in main (argc=2, argv=0x7fffffffdca8) at main.c:438

exif_loader_get_data 负责为 ExifData 结构体开辟空间，然后使用 exif_data_load_data 将内存中的 JPEG / EXIF header, byte order, fixed value 等信息加载到 ExifData 结构体中，进行一些简单的校验，并初始化 IFD 0 和 IFD 1。初始化 IFD 字段是通过调用 exif_data_load_data_content 实现的。

根据这个 switch 就可以看出来，很显然，load data content 大致应该就是将 exif 图片的各个字段信息加载进去。

继续调试，我们在 EXIF_TAG_EXIF_IFD_POINTER 这个 case 调用了 exif_data_load_data_content，此时传入的 ifd 为 EXIF_IFD_EXIF，而我们后续也是在这里面执行 exif_data_load_data_thumbnail 时崩溃的，所以要重点分析一下这部分。

首先确定一下在第几次循环的时候崩溃，我们直接 c 让它崩，然后切换到对应栈帧查看 i，发现是第 13 次调用了 exif_data_load_data_thumbnail：

然后通过 if i == 13 下条件断点，定位到触发崩溃的循环索引继续分析。由于这里有两个调用 exif_data_load_data_thumbnail 的位置，而我们不知道具体会调用哪一个，因此如果我们下的那个断点不是实际的调用点，那就停不下来了。所以这里两个位置都需要下一个断点：

最后我们发现它执行的是 381 行处的代码，整洁起见，之前 374 行处的断点就可以删掉了。

步入继续，发现致使 memcpy 崩溃的原因是 rsi 无法解引用：

接下来重点看这个 exif_data_load_data_thumbnail 的逻辑：

1
// ► 0x555555563d00 <exif_data_load_data_content+1168>    call   exif_data_load_data_thumbnail <exif_data_load_data_thumbnail>
2
//        rdi: 0x555555593240 —▸ 0x5555555932d0 —▸ 0x5555555934a0 —▸ 0x555555593420 ◂— 0x200000110
3
//        rsi: 0x555555595986 ◂— 0x8002a4949 /* 'II*' */
4
//        rdx: 0x100
5
//        rcx: 0xffffff80
6
//        r8: 0xe8
7

8
static void
9
exif_data_load_data_thumbnail (ExifData *data, const unsigned char *d,
10
          unsigned int ds, ExifLong offset, ExifLong size)
11
{
12
 if (ds < offset + size) {
13
  exif_log (data->priv->log, EXIF_LOG_CODE_DEBUG, "ExifData",
14
     "Bogus thumbnail offset and size: %i < %i + %i.",
15
     (int) ds, (int) offset, (int) size);
16
  return;
17
 }
18
 if (data->data)
19
  exif_mem_free (data->priv->mem, data->data);
20
 data->size = size;
21
 data->data = exif_data_alloc (data, data->size);
22
 if (!data->data)
23
  return;
24
 memcpy (data->data, d + offset, data->size);
25
}

通过调试，我们可知它根本不会进入那三个 if branch，也就是说，这个函数只执行了如下三行代码：

1
data->size = size;
2
data->data = exif_data_alloc (data, data->size);
3
memcpy (data->data, d + offset, data->size);

即将 size 设置为 r8，将 data 设置为 exif_data_alloc 分配出来的值，而 src 则是 d + offset 的值，即 rsi + 0xffffff80：

显然，这个 offset 特别大，而经调试，我们的 rsi 其实是合法值，那么问题就处在 offset 上了。

回溯发现，在给 exif_data_load_data_thumbnail 传参时，offset 的值就有问题了：

通过查看二进制数据，我们很容易定位到一个类似的数据：

尝试直接将其修改为 0xCAFEBABE，然后再调试一下。调试之前我们可以先使用 save breakpoints bps 将断点信息保存到 bps 文件，之后通过 source bps 加载。

可见，我们可以通过控制图片的内部数据信息来控制 memcpy 的行为，至于具体怎么利用，利用后有什么效果，我就不分析了。直接确定一下 CVE ID，发现这个 CVE-2012-2836 的描述比较符合我们的分析结果。

CVE-2012-2836

Aggregating intelligence...

CVE-2009-3895#

Program received signal SIGSEGV, Segmentation fault.
0x000055555556e60f in exif_get_slong (b=0x5555555b2000 <error: Cannot access memory at address 0x5555555b2000>, order=EXIF_BYTE_ORDER_INTEL) at exif-utils.c:129
129     return ((b[3] << 24) | (b[2] << 16) | (b[1] << 8) | b[0]);
#0  0x000055555556e60f in exif_get_slong (b=0x5555555b2000 <error: Cannot access memory at address 0x5555555b2000>, order=EXIF_BYTE_ORDER_INTEL) at exif-utils.c:129
#1  0x000055555556e49f in exif_get_long (buf=0x5555555b2000 <error: Cannot access memory at address 0x5555555b2000>, order=EXIF_BYTE_ORDER_INTEL) at exif-utils.c:156
#2  0x0000555555566026 in exif_entry_fix (e=0x555555593460) at exif-entry.c:189
#3  0x0000555555562d6d in fix_func (e=0x555555593460, data=0x0) at exif-content.c:211
#4  0x0000555555562a13 in exif_content_foreach_entry (content=0x555555593270, func=0x555555562d50 <fix_func>, data=0x0) at exif-content.c:185
#5  0x0000555555562bdc in exif_content_fix (c=0x555555593270) at exif-content.c:225
#6  0x0000555555565481 in fix_func (c=0x555555593270, data=0x0) at exif-data.c:1082
#7  0x00005555555650ca in exif_data_foreach_content (data=0x5555555931e0, func=0x5555555653e0 <fix_func>, user_data=0x0) at exif-data.c:965
#8  0x00005555555643d4 in exif_data_fix (d=0x5555555931e0) at exif-data.c:1087
#9  0x0000555555563886 in exif_data_load_data (data=0x5555555931e0, d_orig=0x555555595980 "", ds_orig=82) at exif-data.c:826
#10 0x000055555556cbeb in exif_loader_get_data (loader=0x555555593190) at exif-loader.c:368
#11 0x000055555555f75e in main (argc=2, argv=0x7fffffffdbe8) at main.c:438

直接调，调就完了。

一开始都是差不多的，exif_data_fix 的作用是将不符合规格的 exif 数据修复，使其符合规范，内部其实就是对 exif_data_foreach_content 的包装，而 exif_data_foreach_content 则是对每一个 IFD 执行指定的函数，这里是 fix_func ……

其实我觉得没必要从 main 开始分析，直接从崩溃边界开始分析就好了，所以接下来我会从后往前分析。

可以看到，是 rax 无法解引用导致的问题。入口是 exif_entry_fix 之后的 exif_get_long。

回溯到调用 exif_get_long 的函数 exif_entry_fix：

我们发现这里是一个 for 循环，并且此时的索引是 31440，巨大无比，显然不正常，而索引范围是 e->components 指定的：

这都十亿多次了，所以问题就是没有验证这个 component 大小的合法性。此外，这个大小也是攻击者可控的：

components 肯定代表了组件数量，什么东西的组件数量？翻代码，发现是 ExifEntry：

通过查询 exif 标准 ¹ 我们可知，一个 ExifEntry 由 Format，Components 和 Data 组成。如果 format 类型是 unsigned short，则它代表每个 component 占用 2 bytes，而 components 则代表了这样的组件有几个，将它和 format 相乘即是这一 entry 总共占用的字节数。

所以这里的问题显然就是 e->components 很大，而 e->data 分配的内存很小，导致 OOB 。而在计算 e->size = e->components * exif_format_get_size(e->format) 时，如果 components 特别大也有可能发生溢出，导致最后得到一个特别小的值。如果后续用这个特别小的 size 去申请内存，就会有申请大小远小于实际需求的问题，写入将直接崩溃或允许执行任意代码。

定位一下 CVE，发现符合 CVE-2009-3895 的描述。至此，这个 chall 要求的两个 CVE 我们均已找齐，剩下那几个 crashes 和 hang 我就不分析了，懒（

CVE-2009-3895

Aggregating intelligence...

Fix#

CVE-2012-2836#

调试发现，这个非法 offset 来自 exif_get_long 函数，我们深入分析一下它的逻辑。

首先调用入口是：

1
  case EXIF_TAG_JPEG_INTERCHANGE_FORMAT:
2
   o = exif_get_long (d + offset + 12 * i + 8,
3
        data->priv->order);

所以它是取 d + offset + 12 * i + 8 这个偏移处的值。查阅文档，我们可知它就是返回一个 uint32_t 类型，而它内部使用的 exif_get_slong 会返回一个 int32_t 类型：

1
ExifLong
2
exif_get_long (const unsigned char *buf, ExifByteOrder order)
3
{
4
        return (exif_get_slong (buf, order) & 0xffffffff);
5
}
6

7
ExifSLong
8
exif_get_slong (const unsigned char *b, ExifByteOrder order)
9
{
10
 if (!b) return 0;
11
        switch (order) {
12
        case EXIF_BYTE_ORDER_MOTOROLA:
13
                return ((b[0] << 24) | (b[1] << 16) | (b[2] << 8) | b[3]);
14
        case EXIF_BYTE_ORDER_INTEL:
15
                return ((b[3] << 24) | (b[2] << 16) | (b[1] << 8) | b[0]);
16
        }
17

18
 /* Won't be reached */
19
 return (0);
20
}

虽然通过 & 0xffffffff 截断处理了整数溢出问题，但是 0xffffffff 依旧可以表示一个巨大的范围，大概 4 GB？所以问题就在于，它没检查偏移是否合理。

解决方法很简单，只要将 offset 限制在 ds 的范围内即可。ds 代表了 data size, 也就是整个图像数据的大小边界。超过 ds 肯定是不对的。

1
case EXIF_TAG_JPEG_INTERCHANGE_FORMAT:
2
  o = exif_get_long(d + offset + 12 * i + 8, data->priv->order);
3
   if (o >= ds) {
4
     exif_log(data->priv->log, EXIF_LOG_CODE_CORRUPT_DATA, "ExifData",
5
              "Illegal offset value detected!");
6
     abort();
7
  }

CVE-2009-3895#

分析的时候已经写过问题了，修复方法就是校验 components 与当前 size 是否匹配：

1
case EXIF_TAG_SHARPNESS:
2
  switch (e->format) {
3
  case EXIF_FORMAT_LONG:
4
    if (!e->parent || !e->parent->parent)
5
      break;
6
     if (e->components <= 0 || e->components > 65535) {
7
       exif_entry_log(e, EXIF_LOG_CODE_CORRUPT_DATA,
8
                      "Component size is too large!");
9
       abort();
10
     }
11
     if (e->size < e->components * exif_format_get_size(EXIF_FORMAT_LONG)) {
12
       exif_entry_log(e, EXIF_LOG_CODE_CORRUPT_DATA,
13
                      "Corrupted data size detected!");
14
       abort();
15
     };
16
    o = exif_data_get_byte_order(e->parent->parent);
17
    for (i = 0; i < e->components; i++)
18
      exif_set_short(
19
          e->data + i * exif_format_get_size(EXIF_FORMAT_SHORT), o,
20
          (ExifShort)exif_get_long(
21
              e->data + i * exif_format_get_size(EXIF_FORMAT_LONG), o));
22
    e->format = EXIF_FORMAT_SHORT;
23
    e->size = e->components * exif_format_get_size(e->format);
24
    e->data = exif_entry_realloc(e, e->data, e->size);
25
    exif_entry_log(e, EXIF_LOG_CODE_DEBUG,
26
                   _("Tag '%s' was of format '%s' (which is "
27
                     "against specification) and has been "
28
                     "changed to format '%s'."),
29
                   exif_tag_get_name(e->tag),
30
                   exif_format_get_name(EXIF_FORMAT_LONG),
31
                   exif_format_get_name(EXIF_FORMAT_SHORT));
32
    break;

成功修复：

但是发现 rational 类型也有问题，不过直接使用和上面一样的 patch 方案就能解决。

1
case EXIF_TAG_FOCAL_LENGTH:
2
  switch (e->format) {
3
  case EXIF_FORMAT_SRATIONAL:
4
    if (!e->parent || !e->parent->parent)
5
      break;
6
     if (e->components <= 0 || e->components > 65535) {
7
       exif_entry_log(e, EXIF_LOG_CODE_CORRUPT_DATA,
8
                      "Component size is too large!");
9
       abort();
10
     }
11
     if (e->size < e->components * exif_format_get_size(EXIF_FORMAT_LONG)) {
12
       exif_entry_log(e, EXIF_LOG_CODE_CORRUPT_DATA,
13
                      "Corrupted data size detected!");
14
       abort();
15
     };
16
    o = exif_data_get_byte_order(e->parent->parent);
17
    for (i = 0; i < e->components; i++) {
18
      sr = exif_get_srational(
19
          e->data + i * exif_format_get_size(EXIF_FORMAT_SRATIONAL), o);
20
      r.numerator = (ExifLong)sr.numerator;
21
      r.denominator = (ExifLong)sr.denominator;
22
      exif_set_rational(
23
          e->data + i * exif_format_get_size(EXIF_FORMAT_RATIONAL), o, r);
24
    }
25
    e->format = EXIF_FORMAT_RATIONAL;
26
    exif_entry_log(e, EXIF_LOG_CODE_DEBUG,
27
                   _("Tag '%s' was of format '%s' (which is "
28
                     "against specification) and has been "
29
                     "changed to format '%s'."),
30
                   exif_tag_get_name(e->tag),
31
                   exif_format_get_name(EXIF_FORMAT_SRATIONAL),
32
                   exif_format_get_name(EXIF_FORMAT_RATIONAL));
33
    break;

也算是在开学前完成了这两个 CVE 的复现，还没懒到啥也不干……

References#

Description of Exif file format ↩

Target CVEs#

Description#

Compile#

Download#

Build#

Samples#

Fuzzing#

Analysis#

CVE-2012-2836#

CVE-2009-3895#

Fix#

CVE-2012-2836#

CVE-2009-3895#

References#

Footnotes#