Open5GS项目中PFCP协议栈缓冲区溢出问题分析

问题概述

在Open5GS项目v2.7.5-4-g9217889+版本中，发现了一个与PFCP协议处理相关的栈缓冲区溢出问题。该问题位于ogs_pfcp_extract_node_id()函数中，当处理异常构造的PFCP数据包时，可能导致服务异常终止。

技术背景

Open5GS是一个开源的5G核心网实现，其中的UPF(用户面功能)组件负责处理PFCP(分组转发控制协议)消息。PFCP协议用于控制面(如SMF)和用户面(如UPF)之间的通信，其中节点标识(Node ID)是PFCP会话建立过程中的重要参数。

问题细节

问题位于lib/pfcp/util.c文件的第196行，具体问题出在ogs_pfcp_extract_node_id()函数中。该函数负责从PFCP消息中提取节点ID信息，但在处理TLV(Type-Length-Value)格式的节点ID时，直接使用了memcpy进行内存拷贝，而没有对源数据的长度进行验证。

memcpy(node_id, tlv_node_id->data, tlv_node_id->len);

这里的潜在风险在于：

1. node_id是栈上分配的固定大小缓冲区(根据错误信息显示为257字节)
2. tlv_node_id->len来自网络数据，可能包含异常值
3. 当tlv_node_id->len大于目标缓冲区大小时，会导致栈缓冲区溢出

问题影响

该问题可能导致以下后果：

1. 服务异常终止
2. 可能影响程序执行流程
3. 破坏栈上的其他变量，导致不可预测的行为

从错误日志中可以看到，当发送特定格式的PFCP数据包时，确实触发了栈缓冲区溢出，导致ASan(AddressSanitizer)检测到并终止了进程。

修复方案

修复方案相对简单直接，需要在拷贝数据前检查长度：

memcpy(node_id, tlv_node_id->data, ogs_min(tlv_node_id->len, sizeof(ogs_pfcp_node_id_t)));

这种修复方式：

1. 使用ogs_min宏取较小值
2. 确保不会拷贝超过目标缓冲区大小的数据
3. 保持了原有功能的同时增加了安全性

安全建议

对于类似网络协议处理代码，建议：

1. 对所有来自网络的数据进行长度验证
2. 使用安全的字符串/内存操作函数
3. 启用编译器的安全特性(如栈保护、ASan等)
4. 对关键网络组件进行模糊测试

总结

这个问题展示了在网络协议实现中忽视输入验证的典型后果。虽然修复简单，但这类问题在协议栈实现中很常见。开发者应当对所有来自外部源的数据保持警惕，特别是在处理TLV这类灵活格式时，长度字段必须经过严格验证后才能使用。