CVE-2024-0321
本文将介绍CVE-2024-0321这一漏洞的背景、原理和复现方式,仅为个人学习笔记,供大家学习参考。
申明:本工作是A.S.E (AI Code Generation Security Evaluation)开源项目的一部分,很荣幸能作为contributor参与这一开源项目,为大模型的安全评估做出贡献;
笔记汇总在CVE_Binary_Reproduction。
漏洞卡片
| 字段 |
内容 |
| CVE-ID |
CVE-2024-0321 |
| CWE-ID |
CWE-:787 Out-of-bounds Write / CWE-:121 Stack-based Buffer Overflow |
| NVD公开日期 |
2024-01-08 |
| 评分 |
(CVSS v3) 9.8 CRITICAL |
| 影响组件 |
GPAC(MP4Box) 2.3-DEV 之前版本 |
| 受影响模块 |
filters/load_text.c 的 gf_text_get_utf8_line(SRT字幕导入;旧版位于 media_tools/text_import.c) |
| 漏洞类型 |
栈缓冲区溢出 |
| 利用后果 |
远程代码执行 / DoS |
| 补丁 Commit |
d0ced41651b279bb054eb6390751e2d4eb84819a(增加目标缓冲区长度检查) |
背景介绍
- GPAC 是一个多媒体框架,包含容器、滤镜与多种媒体工具;其中
MP4Box 是常用的命令行工具,用于封装/解析 MP4 等媒体格式。
- 本漏洞出现在字幕(Timed Text,SRT)导入流程中,具体位于
gf_text_get_utf8_line 的 UTF-8 转换与复制逻辑。
漏洞原理分析
- 触发点(观察到的行为)
- 使用
MP4Box 对精心构造的 .srt 字幕文件进行导入(如 -srt 0 crafted_text.srt),在 gf_text_get_utf8_line 出现栈缓冲区溢出,ASan 报告 stack-buffer-overflow 与 “stack smashing detected”。
- 根本原因(两类问题共同导致)
- 目标缓冲区大小不匹配:调用处传入
lineSize=2048,但函数内部使用固定缓冲 char szLineConv[1024];当转换后写入索引 j 超过 1024 会发生越界写入(见问题报告)。
- 边界检查不足:在非 UTF-8 路径或转换失败(如
gf_utf8_wcstombs 返回 -1)的情况下,代码仍可能对 szLineConv[i]/szLineConv[j] 写入而未充分校验 i/j 与缓冲区上限,导致越界。
- 如何被利用(攻击面)
- 输入面为字幕解析(SRT 导入);攻击者可通过超长行、特殊编码字节序列触发转换路径,使内部索引增长超过缓冲区长度,造成溢出,可能进一步导致崩溃或被利用实现代码执行。
漏洞复现
环境准备
本次复现是在docker容器环境下进行的,保证了环境的精确、纯粹,我们可以随意指定依赖版本,而不会被主机的环境干扰。
首先,拉取 GPAC 官方 GitHub 仓库。
1
|
git clone https://github.com/gpac/gpac.git
|
然后,根据编译所需相关依赖创建 docker 镜像,注意依赖要尽量贴合当年的环境,具体dockerfile我没有保存,可以直接拉取我打包好的镜像(详见 复现镜像 部分)。
1
|
docker pull choser/gpac_cve-2024-0321:latest
|
内含:
- gpac(项目文件夹)
- setup.sh(编译脚本)
- image_status_check.sh
- test_case.sh
- poc.sh
- poc文件
编译/触发
首先,使用先前创建的镜像启动容器。
1
2
3
4
5
|
docker run -it --rm --name choser/gpac_cve-2024-0321 \
gpac_cve-2024-0321 /bin/bash
# -rm 选项表示容器退出后自动删除
# --name 指定容器名字
# /bin/bash 指定命令行环境
|
进入容器后,我们先将项目切换到修复前版本。
1
2
3
|
cd gpac
# 切换到修复前一个commit
git checkout d0ced41651b279bb054eb6390751e2d4eb84819a^
|
接着我们编译出供漏洞复现使用的组件,注意需要启用 ASan 与 debug 编译标志以获得清晰崩溃信息,以下是我撰写使用的编译脚本 setup.sh。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
#!/usr/bin/env bash
set -euo pipefail
cd /workspace/gpac
# 1. 秒清
git clean -ffdx &>/dev/null
git reset --hard &>/dev/null
# 2. 老版本专用配置
./configure \
--cc=clang \
--cxx=clang++ \
--extra-cflags="-fsanitize=address -fno-omit-frame-pointer -g" \
--extra-ldflags="-fsanitize=address" \
--static-build \
--target=MP4Box
# 3. 编库 + 编应用(老版本 Makefile 会自动处理依赖)
make -j"$(nproc)"
# 4. 验证
echo "=== MP4Box ready ==="
ls -lh bin/gcc/MP4Box
|
执行完毕后,需要用到的工具 MP4Box 应当在以下路径。
1
2
3
|
# 检查 MP4Box 是否存在
root@1877c59a83ec:/workspace# ls /workspace/gpac/bin/gcc/MP4Box
/workspace/gpac/bin/gcc/MP4Box
|
接下来就可以结合 PoC 触发文件,参考问题报告中的漏洞触发方式进行漏洞复现。
在报告中,触发命令格式如下(来源于本地 info.txt 与官方 Issue 复现片段):
1
2
3
|
# MP4Box 路径
# sbo3 为 PoC 文件
./bin/gcc/MP4Box -dash 1000 /home/fuzz/crashes/sbo3
|
我使用的 PoC 文件为CVE-POC/gpac/2024-0321 at main · Ch0ser/CVE-POC。
调整路径并执行后成功触发漏洞,显著标志为 AddressSanitizer 的 stack-buffer-overflow,具体结果如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
|
root@137fea84b4c2:/workspace# "$MP4BOX" -dash 1000 "$POC_FILE"
[Dasher] No template assigned, using $File$_dash$FS$$Number$
[Dasher] No bitrate property assigned to PID sbo3, computing from bitstream
[TXTIn] Bad SRT formatting - expecting number got "m[ññ<?xml versi0"A217Z" minimumU.(17Z --> wi"
[TXTIn] Corrupted SRT frame 0 after frame 0
[TXTIn] Error scanning SRT frame 0 timing
[TXTIn] Corrupted SRT frame 0 after frame 0
[TXTIn] Error scanning SRT frame 0 timing
[TXTIn] Corrupted SRT frame 0 after frame 0
[TXTIn] Error scanning SRT frame 0 timing
[TXTIn] Corrupted SRT frame 0 after frame 0
[TXTIn] Error scanning SRT frame 0 timing
[TXTIn] Corrupted SRT frame 0 after frame 0
[TXTIn] Error scanning SRT frame 0 timing
[TXTIn] Corrupted SRT frame 0 after frame 0
[TXTIn] Error scanning SRT frame 0 timing
[TXTIn] Corrupted SRT frame 0 after frame 0
[TXTIn] Error scanning SRT frame 0 timing
[TXTIn] Corrupted SRT frame 0 after frame 0
[TXTIn] Error scanning SRT frame 0 timing
[TXTIn] Corrupted SRT frame -1 after frame 0
=================================================================
==14==ERROR: AddressSanitizer: stack-buffer-overflow on address 0x7ffdc5452560 at pc 0x58a327b38e87 bp 0x7ffdc5451310 sp 0x7ffdc5450ad8
WRITE of size 2048 at 0x7ffdc5452560 thread T0
#0 0x58a327b38e86 in __interceptor_strcpy (/workspace/gpac/bin/gcc/MP4Box+0x528e86) (BuildId: fc25236207c75083173ce4856b6db5cd090982d7)
#1 0x58a3284eb164 in gf_text_get_utf8_line /workspace/gpac/src/filters/load_text.c:381:3
#2 0x58a3284f1d64 in txtin_process_srt /workspace/gpac/src/filters/load_text.c:996:12
#3 0x58a3284ed9f7 in txtin_process /workspace/gpac/src/filters/load_text.c:4015:6
#4 0x58a3282bbdba in gf_filter_process_task /workspace/gpac/src/filter_core/filter.c:2971:7
#5 0x58a328298605 in gf_fs_thread_proc /workspace/gpac/src/filter_core/filter_session.c:2105:3
#6 0x58a328297094 in gf_fs_run /workspace/gpac/src/filter_core/filter_session.c:2405:3
#7 0x58a32804ae63 in gf_dasher_process /workspace/gpac/src/media_tools/dash_segmenter.c:1236:6
#8 0x58a327ba4a33 in do_dash /workspace/gpac/applications/mp4box/mp4box.c:4831:15
#9 0x58a327b9b67c in mp4box_main /workspace/gpac/applications/mp4box/mp4box.c:6245:7
#10 0x7f46fa4a6d8f (/lib/x86_64-linux-gnu/libc.so.6+0x29d8f) (BuildId: d5197096f709801829b118af1b7cf6631efa2dcd)
#11 0x7f46fa4a6e3f in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x29e3f) (BuildId: d5197096f709801829b118af1b7cf6631efa2dcd)
#12 0x58a327acb8a4 in _start (/workspace/gpac/bin/gcc/MP4Box+0x4bb8a4) (BuildId: fc25236207c75083173ce4856b6db5cd090982d7)
Address 0x7ffdc5452560 is located in stack of thread T0 at offset 2272 in frame
#0 0x58a3284f151f in txtin_process_srt /workspace/gpac/src/filters/load_text.c:949
This frame has 14 object(s):
[32, 36) 'sh' (line 950)
[48, 52) 'sm' (line 950)
[64, 68) 'ss' (line 950)
[80, 84) 'sms' (line 950)
[96, 100) 'eh' (line 950)
[112, 116) 'em' (line 950)
[128, 132) 'es' (line 950)
[144, 148) 'ems' (line 950)
[160, 164) 'char_len' (line 950)
[176, 180) 'set_start_char' (line 951)
[192, 196) 'set_end_char' (line 951)
[208, 212) 'line' (line 952)
[224, 2272) 'szLine' (line 953)
[2400, 2424) '.compoundliteral' <== Memory access at offset 2272 partially underflows this variable
HINT: this may be a false positive if your program uses some custom stack unwind mechanism, swapcontext or vfork
(longjmp and C++ exceptions *are* supported)
SUMMARY: AddressSanitizer: stack-buffer-overflow (/workspace/gpac/bin/gcc/MP4Box+0x528e86) (BuildId: fc25236207c75083173ce4856b6db5cd090982d7) in __interceptor_strcpy
Shadow bytes around the buggy address:
0x100038a82450: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0x100038a82460: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0x100038a82470: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0x100038a82480: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0x100038a82490: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
=>0x100038a824a0: 00 00 00 00 00 00 00 00 00 00 00 00[f2]f2 f2 f2
0x100038a824b0: f2 f2 f2 f2 f2 f2 f2 f2 f2 f2 f2 f2 00 00 00 f3
0x100038a824c0: f3 f3 f3 f3 00 00 00 00 00 00 00 00 00 00 00 00
0x100038a824d0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0x100038a824e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0x100038a824f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Shadow byte legend (one shadow byte represents 8 application bytes):
Addressable: 00
Partially addressable: 01 02 03 04 05 06 07
Heap left redzone: fa
Freed heap region: fd
Stack left redzone: f1
Stack mid redzone: f2
Stack right redzone: f3
Stack after return: f5
Stack use after scope: f8
Global redzone: f9
Global init order: f6
Poisoned by user: f7
Container overflow: fc
Array cookie: ac
Intra object redzone: bb
ASan internal: fe
Left alloca redzone: ca
Right alloca redzone: cb
==14==ABORTING
|
当我们切换到修复后版本尝试漏洞复现:
1
2
3
4
|
cd gpac
git checkout d0ced41651b279bb054eb6390751e2d4eb84819a
cd ..
./setup.sh && /workspace/gpac/bin/gcc/MP4Box -srt 0 /workspace/poc/0321.srt
|
这次就被补丁提前拦截了(在修复后的版本中,转换与复制阶段增加了目标缓冲区长度检查,避免越界)。
1
2
|
root@137fea84b4c2:/workspace# "$MP4BOX" -dash 1000 "$POC_FILE"
Segmentation fault (core dumped)
|
PoC分析
我们来分析一下PoC文件是如何触发漏洞的:
结合前文的原理分析,我们知道:要想触发该漏洞必须满足条件:
.srt 中存在超长行(>1024),或包含非 UTF-8 路径的特定字节序列,导致转换后的写入索引 j 超过 szLineConv[1024] 的容量。- 在转换失败返回 -1 的情况下(如
gf_utf8_wcstombs 路径),代码未充分检查 i/j 越界,继续写入触发溢出。
补丁分析
修复 commit 详见:d0ced41651b279bb054eb6390751e2d4eb84819a(为 gf_text_get_utf8_line 增加目标缓冲区长度检查,并在超限时截断)
- 主要改动
- 在写入终止符前增加
j >= lineSize 判断,若超限则将 j 调整为 lineSize-1,避免越界写入;并输出调试日志。
- 保持原有当
len > sizeof(szLineConv)-1 的截断防护,用双重边界确保安全。
- 为什么能修复问题
- 以前仅校验中间转换缓冲
szLineConv 的边界,但最终复制到目标 szLine 时未校验目标上限;新增检查保证目标缓冲不被写爆。
- 补丁的局限与建议
- 仍需关注转换失败路径与索引增长逻辑的健壮性;建议对所有转换分支统一使用安全写入模式,并在上层对行长度与编码合法性进行预过滤。
复现镜像
以上复现过程已打包为 docker 镜像,可通过以下命令拉取:
1
|
docker pull choser/gpac_cve-2024-0321:latest
|
内含:
- gpac(项目文件夹)
- setup.sh
- image_status_check.sh
- test_case.sh
- poc.sh
- poc文件
首先进入项目文件夹,按需切换到修复前/后版本:
1
2
3
4
5
|
cd gpac
# 切换到修复前一个 commit
git checkout d0ced41651b279bb054eb6390751e2d4eb84819a^
# 切换到修复 commit
git checkout d0ced41651b279bb054eb6390751e2d4eb84819a
|
然后按顺序执行四个脚本,即可复现和验证漏洞,预期结果为:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
# 在修复前/后两个版本
./setup.sh && ./image_status_check.sh && ./test_case.sh
# 都应成功编译,并且可执行文件通过基本功能验证
=== Build finished ===
Executable: /workspace/gpac/bin/gcc/MP4Box
[A.S.E] image startup successfully
[A.S.E] test case passed
# 在修复前/后版本
./poc.sh
# 修复前版本
[A.S.E] vulnerability found
# 修复后版本
[A.S.E] vulnerability not found
|
总结和启示
- 输入验证与边界检查必须覆盖“中间缓冲”和“目标缓冲”两端,单侧防护不足以避免越界。
- 对文本编码转换路径(UTF-8/非 UTF-8)进行统一的索引校验与失败处理,避免负值或溢出传播到写入阶段。
- 在命令行工具中启用 ASan/UBSan 与
-g 调试信息,快速定位栈溢出与复制调用栈,提高复现与修复效率。
- 针对字幕导入等“外部输入面”,建议在上层预过滤超长行与不合法编码,提高整体鲁棒性。
参考链接
