信息提供：

漏洞类别：

攻击类型：

发布日期：

更新日期：

受影响系统：

安全系统：

无

漏洞报告人：

漏洞描述：

BUGTRAQ  ID: 9586
CVE(CAN) ID: CVE-2004-0114
BSD系统中的shmat(2)函数映射一个或多个进程/线程共享内存段中，之前可通过shmget(2)函数建立。
shmat(2)系统调用存在编程错误，可导致共享内存段参考计数器错误的增长，可能造成权限提升。
这个函数在sysv_shm.c文件中实现：
-- sysv_shm.c lines 317-322 --
vm_object_reference(shm_handle->shm_object);
rv = vm_map_find(&p->p_vmspace->vm_map,
shm_handle->shm_object,
0, &attach_va, size,
(flags & MAP_FIXED) ? 0 : 1,
prot, prot, 0);
if (rv != KERN_SUCCESS) return ENOMEM;
-- end of code snippet --
shmat(2)函数开始增加下面的vm_object的参考计数，然后尝试插入vm_object到进程地址空间。问题是由于shmat(2)函数在当vm_map_find函数返回失败时忘记递减参考计数值。
此漏洞可以被本地用户利用：
可以使用shmget(2)函数建立共享内存段，和使用shmat(2)函数在进程地址空间中建立两个不同地点的映射。
在经过大约2^32-2(非法)调用shmat(2)函数，vm_object的参考计数值会变为1。
在使用shmdt(2)函数删除一个映射后，vm_object会释放，不过我们会拥有一个额外的映射。然后利用欺骗执行一个会重用释放了的vm_object堆栈段的SUID进程，这时候就可以直接写SUID程序的堆栈段，并方便的提升权限。

测试方法：

无

解决方法：

临时解决方法：
如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：
* FreeBSD系统建议用户采用如下方法，不过此方法会引起依靠共享内存X Windows系统不稳定或失败：
1）通过如下步骤关闭System V共享内存接口：
-在内核配置文件中注释掉`SYSVSHM'，然后按照如下方法重新编译内核：
http://www.freebsd.org/handbook/kernelconfig.html
-在/boot/loader.conf和/etc/rc.conf文件中注释`sysvshm'。
- 在FreeBSD 5.x系统中，System V共享内存支持通过kld(4)提供，为了绝对安全，删除任何在/modules中 `sysvshm.ko'命名的文件。
-重新启动机器。
2）配置System V共享内存参数，使新的共享内存段不能建立，使用共享内存终止所有进程，删除所有存在的共享内存段，运行如下命令：
# sysctl -w kern.ipc.shmmax=0
# echo 'kern.ipc.shmmax=0' >> /etc/sysctl.conf
# ipcs | awk '/^m/ { print $2 }' | xargs -n 1 ipcrm -m

FreeBSD已经为此发布了一个安全公告（FreeBSD-SA-04:02）以及相应补丁:
FreeBSD-SA-04:02：shmat reference counting bug
链接：ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:02.shmat.asc
补丁下载：
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:02/shmat.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:02/shmat.patch.asc