【原创漏洞】Linux内核Marvell WI-FI芯片驱动漏洞（CVE-2019-3846/CVE-2019-10126）

宣布时间 2019-06-10

漏洞概述

Marvell Avastar802.11ac低功耗无线芯片系列主要应用于条记本电脑、智能手机、游戏设备、路由器和物联网设备等，如Surface Pro、Surface laptop、Samsung Chromebook、Galaxy J1、Sony PlayStation 4、Xbox One。

Linux内核Marvell Avastar系列芯片（88W8766/88W8797/88W8897/88W8997）驱动存在远程溢出漏洞CVE-2019-3846和当地溢出漏洞CVE-2019-10126，可导致拒绝服务（系统瓦解）或任意代码执行，东森平台ADLab已第一时间提交厂商进行修复。

漏洞影响范围

Linux kernel 3.2~Linux kernel 5.1

漏洞分析

信息元素（Information Element，IE）是IEEE 802.11管理帧的组成部门。AP和STA通过IE交换信道，速率以及加密算法等信息。除Vendor Specific外，其他IE均使用TLV数据结构体现。

东森·(中国区)官方网站

其中，Type字段长度为1个字节，常见的IE类型以及取值如下：

东森·(中国区)官方网站

CVE-2019-3846远程堆溢出漏洞

该漏洞位于drivers/net/wireless/marvell/mwifiex/scan.c中的mwifiex_update_bss_desc_with_ie函数中。补丁代码添加对WLAN_EID_SSID和WLAN_EID_SUPP_RATES的长度校验。

东森·(中国区)官方网站

漏洞触发的函数调用链：

->mwifiex_cfg80211_connect [mwifiex]
->mwifiex_cfg80211_assoc [mwifiex]
->mwifiex_bss_start [mwifiex]
->mwifiex_fill_new_bss_desc [mwifiex]

->mwifiex_update_bss_desc_with_ie [mwifiex]

可以看出，漏洞发生在Association阶段，无需经过四次握手认证。

东森·(中国区)官方网站

攻击者无需真实AP密码，只需使victim STA断开原有连接，实验连接FakeAP时，即可触发该漏洞。

东森·(中国区)官方网站

CVE-2019-10126当地堆溢出漏洞

该漏洞位于drivers/net/wireless/marvell/mwifiex/ie.c中的mwifiex_uap_parse_tail_ies函数，该函数用于解析用户层通报的beacon数据并将其通报给固件。在while循环的switch default分支中，当处置WLAN_EID_SSID和WLAN_EID_SUPP_RATES等之外的信息元素IE，则会调用拷贝函数。补丁在拷贝函数前添加了对TLV的长度校验代码。

东森·(中国区)官方网站

用户态应用法式（如wpa_suppliant,hostapd）通过netlink接口与内核�？榻型ㄐ�。在初始化过程中注册消息命令和回调函数。

东森·(中国区)官方网站

内核收到NL80211_CMD_START_AP消息时，函数调用链：

->nl80211_start_ap [cfg80211]
->rdev_start_ap [cfg80211]
->mwifiex_cfg80211_start_ap [mwifiex]
->mwifiex_set_mgmt_ies [mwifiex]

->mwifiex_uap_parse_tail_ies [mwifiex]

如果结构特殊的beacon数据包罗多个特殊类型的IE（例如WLAN_EID_SUPPORTED_OPERATING_CLASSES），将使得mwifiex_uap_parse_tail_ies循环调用memcpy，导致当地溢出。

宁静建议

Linux各刊行版漏洞通告：

https://security-tracker.debian.org/tracker/CVE-2019-3846
https://access.redhat.com/security/cve/cve-2019-3846

https://security-tracker.debian.org/tracker/CVE-2019-10126

补丁链接：

https://patchwork.kernel.org/patch/10967049/
https://patchwork.kernel.org/patch/10970141/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

【原创漏洞】Linux内核Marvell WI-FI芯片驱动漏洞（CVE-2019-3846/CVE-2019-10126）

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线