奇虎360技术博客分享奇虎360公司的技术，与安全的互联网共同成长。Main menuSkip to primary contentSkip to secondary content博客首页专栏推荐SearchOpenSSL CVE-2016-2107 漏洞分析Posted on 2016 年 5 月 19 日 by cyg07by au2o3t @ 360信息安全部-云安全团队(Qihoo360 Cloud Security Team)一. 前言最近360信息安全部的战友们够辛苦的，连夜修复漏洞，外部漏洞(ImageMagick)太凶残了，以致于连OpenSSL的洞都没有泛起多少波澜。目前为外部企业服务的360天眼团队和360安服团队还在一线为企业救火。回到这个OpenSSL的漏洞上，我们关注了下OpenSSL在5月份公布的 CVE-2016-2107。然并卵，CVE-2016-2107却是个现实几乎无法利用的漏洞。hf!二.技术分析攻击者需要（苛刻的）：1、能控制受害者进行多次通信连接2、能在受害者明文头部添加数据（加密前）3、能修改受害者明文数据（加密前）4、能截断和修改受害者发送的密文5、能获得服务器返回的数据（有这些能力直接读到明文好不好）
相关攻击测试程序截图：
服务器端 ：
服务器端(当服务器那边出：data length too long 那行就是成功测出1个字节 )
攻击原理：
openssl 开启 AES-NI 后，对 CBC 模式填充检测逻辑存在漏洞，且握手未完成时服务器报错信息以明文返回，
令攻击者可利用（根据服务器不同响应）来探测特定位置的字节 阅读全文 [...]
Posted in 漏洞分析.
Imagetragick(CVE-2016-3714)漏洞分析
Posted on 2016 年 5 月 6 日 by cyg07
by cyg07 @ 360信息安全部云安全团队(Qihoo360 Cloud Security Team)
一. 写在前面
在奇虎360这个互联网公司里，每一个突袭而来的漏洞，也意味360信息安全部将对此进行一场肉搏战，现在已经在午夜。对于CVE-2016-3714这个黑魔法漏洞，虽说看着面上也能看明白这个东西怎么回事，有时候还是走进源码会比较清晰一点，所以这稿子的内容大致是笔者的一个调试过程。
每次修漏洞的时候，还是会想起老领导刘小雄说过的24小时修复原则，估计这个原则会长期伴随着个人在安全道路上。
Hf!
二. 技术分析
“delegate” 委托或者说是代理模式吧，想起了那年拿着GoF13招不停的练，回头想想好像也就用过一次代理模式。
CVE-2016-3714所在的问题文件是magick/delegat.c，不知道为啥总觉得它的设计很不优雅，姑且作点事后的调侃吧，因为你所看到这篇文章也不优雅 阅读全文 [...]
Posted in 漏洞分析.
CVE-2016-2857:an information disclosure vulnerability in QEMU
Posted on 2016 年 3 月 31 日 by cyg07
By Ling Liu of the Cloud Security Team, Qihoo360 Information Security Department
Overview
Recently QEMU disclosed an information disclosure vulnerability (CVE-2016-2857) in function net_checksum_calculate(). It was found by Ling Liu of 360Cloud Security Team, Qihoo360 Information Security Department.
According to our analysis, we found that the vuln can be used to leak the base address of QEMU and stack cookie, even the stack address range by utilizing this vulnerability.
Although this vulnerability only can be triggered by some network cards that used infrequently such as ‘cadence_gem’, we still think that it is worth to make a deeper analysis.
Have fun!
The Bug
The vulnerability was found in function net_checksum_calculate(), and it is a read-out-of-bounds flaw. This function is used to calculate the checksum of an IP header.
If the packet length in data[16:17] was written by a malicious length, it may cause a denial of service or information disclosed, because the function net_checksum_calculate() will bring the calculated checksum back to the packet. In the end, we can restore the sensitive memory information from the packet.
The patch could be found in https://bugzilla.redhat.com/show_bug.cgi?id=1296567
Denial Of Service
The function can be called from many driver of network card or function, as follows.
gem_transmit() in Cadence_gem.c
process_tx_fcb() in Rings.c
work_around_broken_dhclient() in Virtio-net.c
net_tx_packets() in Xen_nic.c
Next,
1st Start with ‘cadence_gem’ network card and enable loopback mode;
2nd Send packet with “data[16:17] = 0xfff”;
Now you can see the variable plen exceed the packet’s real lengt