Pufferüberlauf
Pufferüberläufe(englischbuffer overflow), nicht zu verwechseln mitStapelüberläufen(englisch‚stack overflows‘), gehören zu den häufigstenSicherheitslückenin aktuellerSoftware,die sich u. a. über dasInternetausnutzen lassen können. Im Wesentlichen werden bei einem Pufferüberlauf durch Fehler im Programm zu große Datenmengen in einen dafür zu kleinen reserviertenSpeicherbereich– denPuffer– geschrieben, wodurch nach dem Ziel-Speicherbereich liegende Speicherstellen überschrieben werden.
Ursache für unerwünschtes Schreiben außerhalb des Puffers kann nicht nur eine übergroße Datenmenge, sondern auch einÜberlauf(oder sonstige fehlerhafte Berechnung) der Zieladresse sein, die anzeigt, wo der Datensatz in den Puffer geschrieben werden soll. In diesem Fall wird von einem‚pointer overflow‘(vom englischenpointer,für „Zeiger“) gesprochen.
Gefahren durch Pufferüberläufe
[Bearbeiten|Quelltext bearbeiten]Ein Pufferüberlauf kann zum Absturz des betreffenden Programms, zur Verfälschung von Daten oder zur Beschädigung von Datenstrukturen derLaufzeitumgebungdes Programms führen. Durch Letzteres kann dieRücksprungadresseeinesUnterprogrammsmit beliebigen Daten überschrieben werden, wodurch ein Angreifer durch Übermittlung von beliebigemMaschinencodebeliebige Befehle mit den Privilegien des für den Pufferüberlauf anfälligen Prozesses ausführen kann. Dieser Code hat in der Regel das Ziel, dem Angreifer einen komfortableren Zugang zum System zu verschaffen, damit dieser das System dann für seine Zwecke verwenden kann. Pufferüberläufe in verbreiteterServer- undClientsoftwarewerden auch vonInternetwürmernausgenutzt.
Angriffe mit Pufferüberläufen sind ein wichtiges Thema in derComputersicherheitundNetzwerksicherheit.Sie können nicht nur über jegliche Art von Netzwerken, sondern auch lokal auf dem System versucht werden. Behoben werden sie in der Regel nur durch kurzfristig gelieferte Fehlerkorrekturen (Patches) der Hersteller.
Interpretierte Sprachen sind, abgesehen von Fehlern imInterpreter,in der Regel nicht anfällig, da der Speicher vom Interpreter, und nicht vom Programm selbst, verwaltet wird.
Programmiersprachen
[Bearbeiten|Quelltext bearbeiten]Die wesentlichste Ursache für Pufferüberläufe ist die Verwendung vonProgrammiersprachen,die nicht die Möglichkeit bieten, Grenzen vonSpeicherbereichenautomatisch zu überwachen, um eineBereichsüberschreitungvon Speicherbereichen zu verhindern. Dazu gehört besonders die SpracheC,die das Hauptgewicht aufPerformance(und ursprünglich Einfachheit des Compilers) legt und auf eine Überwachung verzichtet, sowie die C-WeiterentwicklungC++.Hier ist ein Programmierer teilweise gezwungen, den entsprechenden Code von Hand zu generieren, wobei oft absichtlich oder aus Nachlässigkeit darauf verzichtet wird. Die Überprüfung ist häufig auch fehlerhaft implementiert, da während der Programmtests diese Programmteile meist nicht oder ungenügend getestet werden. Daneben stellen der (im Fall von C++) komplexe Sprachumfang und die Standardbibliothek sehr viele fehleranfällige Konstrukte zur Verfügung, zu denen es in vielen Fällen kaum eine Alternative gibt.
Die häufig verwendete Programmiersprache C++ bietet nur eingeschränkte Möglichkeiten zur automatischen Überprüfung von Feldgrenzen. Als Weiterentwicklung der Programmiersprache C übernimmt sie die meisten Eigenschaften von C, wobei sich aber das Risiko von Pufferüberläufen bei Benutzung von modernen Sprachmitteln (u. a. automatische Speicherverwaltung) weitestgehend vermeiden lässt. Aus Gewohnheit, Kompatibilitätsgründen zu vorhandenem C-Code, Systemaufrufen in C-Konvention sowie aus Performancegründen wird von diesen Möglichkeiten aber nicht immer Gebrauch gemacht. Laufzeitüberprüfungen sind im Gegensatz zu Sprachen wie beispielsweisePascaloderAdanicht Bestandteil der Sprache, lassen sich aber in einigen Anwendungsfällen (z. B. mitSmart Pointern) nachrüsten.
Da die meisten Programmiersprachen auch Standardbibliotheken definieren, bedeutet die Wahl einer Sprache meist auch die Verwendung der entsprechenden Standardbibliotheken. Im Fall von C und C++ enthält die Standardbibliothek eine Anzahl von gefährlichen Funktionen, die zum Teil gar keine sichere Verwendung zulassen und zu denen zum Teil keine Alternativen bestehen.
Auf Programmiersprachenebene kann die Gefahr von Pufferüberläufen durch die Verwendung von Programmiersprachen, die konzeptionell sicherer als C++ oder C sind, verringert oder ausgeschlossen werden. Ein sehr viel geringeres Risiko besteht zum Beispiel in Programmiersprachen wieRust,Java,C#oder der Pascal-FamilieModula,Object Pascaloder Ada.
Fast ausgeschlossen sind Pufferüberläufe beispielsweise in der ProgrammierspracheJava,da die Ausführung imBytecodeüberwacht wird. Aber auch in Java gibt es einerseits Pufferüberläufe, deren Ursache im Laufzeitsystem liegt und von denen mehrereJRE-Versionen betroffen sind.[1][2]
Prozessoren und Programmierstil
[Bearbeiten|Quelltext bearbeiten]Weitere Eigentümlichkeiten von C und C++ sowie der am häufigsten eingesetztenProzessorenmachen das Auftreten von Pufferüberläufen wahrscheinlich. Die Programme in diesen Sprachen bestehen zum Teil ausUnterprogrammen.Diese besitzen lokale Variablen.
Bei modernen Prozessoren ist es üblich, die Rücksprungadresse eines Unterprogramms und dessen lokale Variablen auf einen alsStackbezeichneten Bereich zu legen. Dabei werden beim Unterprogrammaufrufzunächstdie Rücksprungadresse unddanachdie lokalen Variablen auf den Stack gelegt. Bei modernen Prozessoren wie demIntelPentiumwird der Stack durch eingebaute Prozessorbefehle verwaltet und wächst zwingendnach unten.Werden Felder oder Zeichenketten in den lokalen Variablen verwendet, werden diese meistnach obenbeschrieben. Wird die Feldgrenze nicht geprüft, kann man damit durch Überschreiten des Feldes die Rückkehradresse auf dem Stack erreichen und gegebenenfalls absichtlich modifizieren.
Das folgende Programmstück in C, das in ähnlicher Form oft verwendet wird, zeigt einen solchen Pufferüberlauf:
voidinput_line()
{
charline[1000];
if(gets(line))// gets erhält Zeiger auf das Array, keine Längeninformation
puts(line);// puts schreibt den Inhalt von line nach stdout
}
Bei Prozessoren, die den Stack nach unten beschreiben, sieht dieser vor dem Aufruf vongets(Funktion der Standard-Bibliothek von C) so aus (wenn man vom eventuell vorhandenen Base Pointer absieht[3]):
| Rücksprungadresse | |
| 1000. Zeichen | |
| …… | |
| 3. Zeichen | |
| 2. Zeichen | |
| 1. Zeichen | ←Stackpointer |
- Der Stack wächst nach unten, die Variable wird nach oben überschrieben
getsliest eine Zeile von der Eingabe und schreibt die Zeichen abline[0]in den Stack. Es überprüft die Länge der Zeile nicht. Gemäß der Semantik von C erhältgetsnur die Speicheradresse als Pointer, jedoch keinerlei Information über die verfügbare Länge. Wenn man jetzt 1004 Zeichen eingibt, überschreiben die letzten 4 Bytes die Rücksprungadresse (unter der Annahme, dass eine Adresse hier 4 Bytes groß ist), die man auf ein Programmstück innerhalb des Stack richten kann. In den ersten 1000 Zeichen kann man gegebenenfalls eingeeignetes Programmeingeben.
00@45eA/%A@4…...…...…...…...…...…...0A&%- Eingabe, wird von gets in den Stack geschrieben (1004 Zeichen)
| modifizierte Rücksprungadresse | |
| line, 1000. Zeichen | |
| … | |
| line, 5. Zeichen | drittes Byte im Code |
| line, 4. Zeichen | zweites Byte im Code |
| line, 3. Zeichen | Ziel der Rücksprungadresse, Programmcodestart |
| line, 2. Zeichen | |
| line, 1. Zeichen | ←Stackpointer |
- Überschreiben der Rücksprungadresse und Programmcode im Stack
Falls das Programm höhere Privilegien besitzt als der Benutzer, kann dieser unter Ausnutzung des Pufferüberlaufs durch eine spezielle Eingabe diese Privilegien erlangen.
Gegenmaßnahmen
[Bearbeiten|Quelltext bearbeiten]Programmerstellung
[Bearbeiten|Quelltext bearbeiten]Eine sehr nachhaltige Gegenmaßnahme besteht in der VerwendungtypsichererProgrammiersprachen und -werkzeuge, wie zum BeispielJavaoderC#,bei denen die Einhaltung von zugewiesenen Speicherbereichen gegebenenfalls schon beim Übersetzen in Maschinensprache mit demCompilerkontrolliert, aber spätestens zurLaufzeitmit entsprechendem Programmcode überwacht wird. Es ist hierbei unerlässlich, dass das Verändern vonZeigervariablennur nach strengen, einschränkenden Regeln erfolgen darf, und es ist in diesem Zusammenhang auch hilfreich, wenn ausschließlich dasLaufzeitsystemautomatische Speicherbereinigungendurchführt.
Bei der Erstellung von Programmen muss also auf die Überprüfung aller Feldgrenzen geachtet werden. Dies liegt bei nicht-typsicheren Programmiersprachen in der Verantwortung des Programmierers. Allerdings sollte vorzugsweise die Verwendung von Programmiersprachen, die automatisch Feldgrenzen überwachen, in Erwägung gezogen werden, was jedoch nicht immer ohne weiteres möglich ist. Bei Verwendung von C++ sollte die Verwendung von Feldern im C-Stil so weit wie möglich vermieden werden.
voidinput_line()
{
charline[1000];
if(fgets(line,sizeof(line),stdin))// fgets überprüft die Länge
puts(line);// puts schreibt den Inhalt von line nach stdout
}
- Gegenmaßnahme: fgets überprüft die Eingabelänge
Überprüfung des Programmcodes
[Bearbeiten|Quelltext bearbeiten]Spezielle Überprüfungswerkzeuge erlauben die Analyse des Codes und entdecken mögliche Schwachstellen. Allerdings kann der Code zur Feldgrenzenüberprüfung fehlerhaft sein, was oft nicht getestet wird.
Unterstützung durch Compiler
[Bearbeiten|Quelltext bearbeiten]In C und C++ steht eine sehr große Auswahl bestehender Programme zur Verfügung. ModerneCompilerwie neue Versionen desGNU C-Compilerserlauben die Aktivierung von Überprüfungscode-Erzeugung bei der Übersetzung.
Sprachen wie C erlauben aufgrund ihres Designs nicht immer die Überprüfung der Feldgrenzen (Beispiel:gets). Die Compiler müssen andere Wege gehen: Sie fügen zwischen der Rücksprungadresse und den lokalen Variablen Platz für eine Zufallszahl (auch „Canary “genannt) ein. Beim Programmstart wird diese Zahl ermittelt, wobei sie jedes Mal unterschiedliche Werte annimmt. Bei jedem Unterprogrammaufruf wird die Zufallszahl in den dafür vorgesehenen Bereich geschrieben. Der erforderliche Code wird vom Compiler automatisch generiert. Vor dem Verlassen des Programms über die Rücksprungadresse fügt der Compiler Code ein, der die Zufallszahl auf den vorgesehenen Wert überprüft. Wurde sie geändert, ist auch der Rücksprungadresse nicht zu trauen. Das Programm wird mit einer entsprechenden Meldung abgebrochen.
| Rücksprungadresse | |
| Zufallszahlbarriere | |
| line, 1000. Zeichen | |
| … | |
| line, 3. Zeichen | |
| line, 2. Zeichen | |
| line, 1. Zeichen | ←Stackpointer |
- Gegenmaßnahme: Zufallszahlbarriere
Daneben kann man manche Compiler auch veranlassen, beim Unterprogrammaufruf eineKopieder Rücksprungadresse unterhalb der lokalen Felder zu erzeugen. Diese Kopie wird beim Rücksprung verwendet, die Ausnutzung von Pufferüberläufen ist dann wesentlich erschwert:
| Rücksprungadresse | |
| line, 1000. Zeichen | |
| … | |
| line, 3. Zeichen | |
| line, 2. Zeichen | |
| line, 1. Zeichen | |
| Kopie der Rücksprungadresse | ←Stackpointer |
- Gegenmaßnahme: Kopie der Rücksprungadresse
Compiler und Compilererweiterungen
[Bearbeiten|Quelltext bearbeiten]Für dieGNU Compiler Collectionexistieren beispielsweise zwei verbreitete Erweiterungen, die Maßnahmen wie die oben beschriebenen implementieren:
- DerStack Smashing ProtectorvonIBM,ehemals alsProPolicebekannt (Homepage, englisch).
- DerStack Guard,entwickelt an derOregon Health & Science University,zwischenzeitlich bei derLinux-DistributionImmunix,jetzt beiNovell.
Heap-Überlauf
[Bearbeiten|Quelltext bearbeiten]EinHeap-Überlaufist ein Pufferüberlauf, der auf demHeapstattfindet. Speicher auf dem Heap wird zugewiesen, wenn Programme dynamischen Speicher anfordern, etwa über malloc() oder dennew-Operator inC++.Werden in einen Puffer auf dem Heap Daten ohne Überprüfung der Länge geschrieben und ist die Datenmenge größer als die Größe des Puffers, so wird über das Ende des Puffers hinausgeschrieben und es kommt zu einem Speicherüberlauf.
DurchHeap-Überläufekann durch Überschreiben von Zeigern auf Funktionen beliebiger Code auf dem Rechner ausgeführt werden, insbesondere wenn der Heap ausführbar ist.FreeBSDhat beispielsweise einen Heap-Schutz, hier ist das nicht möglich. Sie können nur inProgrammiersprachenauftreten, in denen bei Pufferzugriffen keine Längenüberprüfung stattfindet.C,C++oderAssemblersind anfällig,JavaoderPerlsind es nicht.
Zum Bsp. wurde am 23. Juni 2015 vonAdobebekannt gegeben, dass durch solch einen Pufferüberlauf beliebigerSchadcodeauf Systemen ausgeführt werden könne und so die Kontrolle über das System übernommen werden könnte, auf denen derFlash Playerinstalliert sei.[4][5]
Beispiel
[Bearbeiten|Quelltext bearbeiten]#define BUFSIZE 128
char*copy_string(constchar*s)
{
char*buf=malloc(BUFSIZE);// Annahme: Längere Strings kommen niemals vor
if(buf)
strcpy(buf,s);// Heap-Überlauf, falls strlen(s) > 127
returnbuf;
}
Da strcpy() die Größen von Quelle und Ziel nicht überprüft, sondern als Quelle einen null-terminierten ('\0') Speicherbereich erwartet, ist auch die folgende Variante unsicher (sie wird allerdings nicht über "buf" hinausschießen, sondern ggf. über das Ende des "s" zugewiesenen Speicherbereichs).
char*buf;
buf=malloc(1+strlen(s));// Plus 1 wegen des terminierenden NUL-Zeichens
if(buf)
strcpy(buf,s);
Der strncpy-Befehl dagegen kopiert maximal n Zeichen von der Quelle zum Ziel und funktioniert somit, wenn s nullterminiert oder größer als BUFSIZE ist.
char*buf;
if((buf=malloc(BUFSIZE))!=NULL){// Überprüfung des Zeigers.
strncpy(buf,s,BUFSIZE-1);
buf[BUFSIZE-1]='\0';// Nachteil: Die Zeichenkette muss manuell terminiert werden.
}
returnbuf;
Einige Betriebssysteme, z. B.OpenBSD,bieten die Funktionstrlcpyan, die ihrerseits sicherstellt, dass der Zielstring nullterminiert wird und das Erkennen eines abgeschnittenen Zielstrings vereinfacht.
Siehe auch
[Bearbeiten|Quelltext bearbeiten]Literatur
[Bearbeiten|Quelltext bearbeiten]- Aleph One:Smashing The Stack For Fun And Profit.In:Phrack-Magazin.7, Nr. 49 (Dieser Artikel veranschaulicht sehr gut die Wirkungsweise von Pufferüberläufen).
- Jon Erickson:Forbidden Code.mitp, Bonn 2004,ISBN 3-8266-1457-7.
- Tobias Klein:Buffer Overflows und Format-String-Schwachstellen. Funktionsweisen, Exploits und Gegenmaßnahmen.Dpunkt, Heidelberg 2004,ISBN 3-89864-192-9.
- Felix Lindner:Ein Haufen Risiko. Pufferüberläufe auf dem Heap und wie man sie ausnutzt.In:c’t.Magazin für Computer-Technik.23, 9, 2006, S. 186–192,auch kostenlos online im heise Security.
- Oliver Müller:Überläufer. Systemeinbruch via Stack-Overflow.In:iX – Magazin für professionelle Informationstechnik.Band 2, 2007, S. 100–105.
- Stephan Kallnik, Daniel Pape, Daniel Schröter, Stefan Strobel, Daniel Bachfeld:Eingelocht. Buffer-Overflows und andere Sollbruchstellen.heise Security, auch inc’t23/2001, S. 216(vom 14. November 2001 imInternet Archive). Einführungsartikel mit einfachen Beispielen in C.
Weblinks
[Bearbeiten|Quelltext bearbeiten]- Technische Details von Buffer-Overflow (und Exploits)
- Ausnutzung eines Heap overflow
- Buffer-Overflows und wie man sich davor schützt(vom 14. November 2001 imInternet Archive)
- Buffer-Overflows und andere Sollbruchstellen
Einzelnachweise
[Bearbeiten|Quelltext bearbeiten]- ↑Schwachstelle im Sun Java Runtime Environment–LinuxCommunity,am 17. Januar 2007
- ↑Sun Java JRE bis 1.5.x GIF Image Handler Pufferüberlauf–vuldb.com,am 22. Januar 2007 (letzte Änderung am 7. Juli 2015)
- ↑Was ist ein Stack?.2. Juni 2012.
- ↑Dennis Schirrmacher:Adobe: Notfall-Update für Flash Player.In:Heise Security.Heise online,24. Juni 2015,abgerufen am 29. Juni 2015.
- ↑Security updates available for Adobe Flash Player – CVE number: CVE-2015-3113.In:Adobe Security Bulletin.Adobe Inc.,23. Juni 2015,abgerufen am 29. Juni 2015.