반응형


C언어로 작성된 라우팅 프로토콜에서, 디버그를 목적으로 라우팅 테이블을 문자열(char* )로 출력하도록 했는데, 어느 순간 아래와 같은 buffer overflow 메세지와 함께 프로세스가 중단되었다.


18:58:47.109 AodvUseraLogRtTable: 

        dest            next     dst_seq  ifidx  #nextHops

----------------------------------------------------------------    (여기까지 문자열을 출력하는 중이었음)

*** buffer overflow detected ***: ./aodvd terminated

======= Backtrace: =========

/lib/i386-linux-gnu/libc.so.6(__fortify_fail+0x50)[0x1f5df0]

/lib/i386-linux-gnu/libc.so.6(+0xe4cca)[0x1f4cca]

/lib/i386-linux-gnu/libc.so.6(+0xe43c8)[0x1f43c8]

/lib/i386-linux-gnu/libc.so.6(_IO_default_xsputn+0x95)[0x1797e5]

/lib/i386-linux-gnu/libc.so.6(_IO_vfprintf+0x2b06)[0x14fc66]

/lib/i386-linux-gnu/libc.so.6(__vsprintf_chk+0xad)[0x1f447d]

./aodvd[0x804c395]

./aodvd[0x805228a]

./aodvd[0x80596a1]

./aodvd[0x804dff8]

./aodvd[0x804e3ab]

./aodvd[0x804b179]

/lib/i386-linux-gnu/libc.so.6(__libc_start_main+0xe7)[0x126e37]

./aodvd[0x80490d1]

======= Memory map: ========

00110000-0026a000 r-xp 00000000 08:01 1570625    /lib/i386-linux-gnu/libc-2.13.so

0026a000-0026b000 ---p 0015a000 08:01 1570625    /lib/i386-linux-gnu/libc-2.13.so

0026b000-0026d000 r--p 0015a000 08:01 1570625    /lib/i386-linux-gnu/libc-2.13.so

0026d000-0026e000 rw-p 0015c000 08:01 1570625    /lib/i386-linux-gnu/libc-2.13.so

0026e000-00271000 rw-p 00000000 00:00 0 

00271000-0028b000 r-xp 00000000 08:01 1570653    /lib/i386-linux-gnu/libgcc_s.so.1

0028b000-0028c000 r--p 00019000 08:01 1570653    /lib/i386-linux-gnu/libgcc_s.so.1

0028c000-0028d000 rw-p 0001a000 08:01 1570653    /lib/i386-linux-gnu/libgcc_s.so.1

004df000-004fb000 r-xp 00000000 08:01 1570612    /lib/i386-linux-gnu/ld-2.13.so

004fb000-004fc000 r--p 0001b000 08:01 1570612    /lib/i386-linux-gnu/ld-2.13.so

004fc000-004fd000 rw-p 0001c000 08:01 1570612    /lib/i386-linux-gnu/ld-2.13.so

00661000-00662000 r-xp 00000000 00:00 0          [vdso]

08048000-0805e000 r-xp 00000000 08:01 1190565    /home/shan/exp/routing/aodv-uu-usera/aodvd

0805e000-0805f000 r--p 00015000 08:01 1190565    /home/shan/exp/routing/aodv-uu-usera/aodvd

0805f000-08060000 rw-p 00016000 08:01 1190565    /home/shan/exp/routing/aodv-uu-usera/aodvd

08060000-08061000 rw-p 00000000 00:00 0 

09aec000-09b0d000 rw-p 00000000 00:00 0          [heap]

b7846000-b7847000 rw-p 00000000 00:00 0 

b7856000-b7859000 rw-p 00000000 00:00 0 

bfe42000-bfe63000 rw-p 00000000 00:00 0          [stack]

$

--> 내용 수정
  다시 확인한 결과, 위의 출력 결과는 strcat에서 buffer overflow가 발생하기 전에, 다른 debug 함수에서 sprintf 함수에 쓰이는 문자열 버퍼의 크기가 제한되어 있어서 발생한 것이며, strcat으로 인한 출력 결과가 아니었다. 하지만 strcat을 수행할 경우에도 이와 비슷한 형태의 에러가 출력되므로, 단지 형태를 참고하는 정도로만 확인하면 좋겠다.


문제가 발생한 해당 함수(AodvUseraLogRtTable이라는 개인적으로 만든 함수)에서는 strcat을 쓰고 있었고, 정해진 크기의 문자열에 for문으로 임의의 갯수만큼 다른 문자열을 한 줄씩 추가하는 형태였다.

char buf[2000] = {0};


for ( i = 0 ; i < RT_TABLESIZE ; i++ )

{

    char* temp = ~~~~~~~~~~; // temp에 자동으로 입력되는 문자열

    strcat ( buf, temp );

}


라우팅 테이블에 4줄까지는 괜찮다가 5줄짜리를 출력할 때 문제가 생긴 것으로 보면 한 줄에 대략 200바이트 내외의 길이가 추가되면서 buf의 크기를 넘어서면서 문제가 생겼을 것이다. 이런 접근을 허용하게 되면, heap 영역에서 프로세스마다(또는 변수마다) 활용하는 메모리 영역을 넘어서는 부분을 수정하게 되므로, 다른 프로세스(또는 다른 변수)에서 예상치 못한 결과를 얻게 되는 문제가 있다.




C언어에서 다양한 방법이 가능하겠지만, 가장 간단하게는 두 가지의 해결 방향이 있을 것 같다.


(1) temp의 사이즈를 미리 지정하고, if문을 이용해서 붙이는 대상(buf)의 크기를 넘어가지 않도록 제어하기

  위의 경우에는 temp* 문자열의 크기가 어떻게 되는지 알 수 없다. 문자열을 생성하는 코드에 따라서 아주 길 수도 이쏙 짧을 수도 있다. 아예 처음부터 temp 문자열을 일정한 크기로 만들고, 형태(format)를 잘 정의해서 규모 있게 운용하면 예상 외의 buffer overflow는 줄일 수 있을 것이다.

char buf[2000] = {0};

char temp[100] = {0}; // temp의 크기를 강제 지정

int buf_pos = 0;


for ( i = 0 ; i < RT_TABLESIZE ; i++ )

{

    memset( temp, 0, 100);

    sprintf( temp, "~~~~~~", ... ); // temp에 입력시 format을 미리 정해서 크기를 일정하게

    if( buf_pos + 100 < 2000 )

    {

        // buf에 여유 공간이 있을 때만 strcat 수행

        strcat ( buf, temp ); 

        buf_pos += 100;

    }

}



(2) strncat을 이용해서 temp의 맨 처음으로부터 일정 크기의 문자열만 붙이기 (+ if문 활용해서 buf 크기 넘어가지 않도록 제어)

  temp 문자열의 크기를 미리 정할 수 없지만 앞의 일부분만 가져다 쓰면 되는 경우에는, strncat 함수를 이용해서 붙여넣을 temp 문자열 중에서 정해진 크기만큼만 buf에 붙여지도록 지정할 수 있다.

만약 100바이트씩만 붙인다면, " strncat ( buf, temp, 100); "이 될 것이다.

char buf[2000] = {0};

int buf_pos = 0;


for ( i = 0 ; i < RT_TABLESIZE ; i++ )

{

    char* temp = ~~~~~~~~~~; // temp에 자동으로 입력되는 문자열

    if( buf_pos + 100 < 2000 )

    {

        strncat ( buf, temp, 100 ); // temp의 맨 앞에서부터 100바이트 길이만 buf에 붙이기

        buf_pos += 100;

    }

}



반응형
블로그 이미지

Bryan_

,