发布日期：2010-01-31
更新日期：2010-02-02

受影响系统：
Sun Solaris 10.0_x86
Sun OpenSolaris snv_69 - snv_133
描述：
BUGTRAQ  ID: 38016
CVE ID: CVE-2010-0453

Solaris是一款由Sun开发和维护的商业UNIX操作系统。

Solaris的内核中负责处理UCODE_GET_VERSION IOCTL请求的代码中存在空指针引用漏洞，本地用户可以通过发送特制的IOCTL请求导致拒绝服务。以下是intel/io/ucode_drv.c中的有漏洞代码段：

[..]
static int
ucode_ioctl(dev_t dev, int cmd, intptr_t arg, int mode, cred_t *cr, int
            *rval)
{
..
   switch (cmd) {
   case UCODE_GET_VERSION: {
     int size;
     uint32_t *revp, *rev_array;
     ucode_errno_t rc = EM_OK;

     STRUCT_DECL(ucode_get_rev_struct, h);
     STRUCT_INIT(h, mode);
[1] if (ddi_copyin((void *)arg,
         STRUCT_BUF(h), STRUCT_SIZE(h), mode))
       return (EFAULT);

[2] if ((size = STRUCT_FGET(h, ugv_size)) > NCPU)
       return (EINVAL);

     if ((rev_array = STRUCT_FGETP(h, ugv_rev)) == NULL)
       return (EINVAL);

     size *= sizeof (uint32_t);

[3] revp = kmem_zalloc(size, KM_SLEEP);
     if (ddi_copyin((void *)rev_array, revp, size, mode) != 0) {
       kmem_free(revp, size);
       return (EINVAL);
     }

[4] rc = ucode_get_rev(revp);
[..]

[1] h结构填充了用户控制的IOCTL输入数据。
[2] 从用户控制的数据中获得了size值。
[3] 如果size值为0，kmem_zalloc()会返回NULL，导致revp指向NULL。
[4] revp用作了ucode_get_rev()的函数指针。

i86pc/os/microcode.c：

[..]
/*
* Returns microcode revision from the machcpu structure.
*/
ucode_errno_t
ucode_get_rev(uint32_t *revp)
{
   int i;

   ASSERT(ucode);
   ASSERT(revp);

   if (!ucode->capable(CPU))
     return (EM_NOTSUP);

   mutex_enter(&cpu_lock);
   for (i = 0; i < max_ncpus; i++) {
     cpu_t *cpu;

     if ((cpu = cpu_get(i)) == NULL)
       continue;

[5] revp = cpu->cpu_m.mcpu_ucode_info->cui_rev;
[..]

[5] 这个分配导致了空指针引用，因为revp == NULL。

<*来源：Tobias Klein
  
  链接：
        
        
*>

建议：
厂商补丁：

Sun
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：