漏洞简述
2022年7月28日,apache Calcite Avatica官方通告了一个RCE漏洞,Avatica 是一个用于构建数据库驱动程序的框架,它的驱动程序 `httpclient_impl` 连接属性可用作 RCE 向量,攻击者可利用该漏洞执行任意代码。
漏洞利用前提:
1. 攻击者可控制JDBC连接参数
2. 类路径中有易受攻击的类
漏洞严重等级为:高
受影响版本为:<1.22.0
漏洞分析
1. 漏洞缺陷点
驱动程序的实例化过程分为三个过程:
①通过反射查找并加载指定的类
②获取到指定的类之后通过getConstructor(URL.class)返回一个形参,作为URL的构造函数对象;通过`constructor.newinstance()`创建和初始化一个实例对象,同时把非空的url传到对应构造函数的形参中。
③把绑定了url的构造函数所形成的实例对象通过AvaticaHttpClint.class.cast() 进行转换并返回AvaticaHttpClient对象。
在修复的1.22.0版本之前,驱动程序在实例化之前不会验证加载的类是否实现了预期的接口,这样可能会导致任意类加载执行代码。
2. 漏洞利用原理
因为代码中通过反射加载的类并不确保是安全的,所以如果服务端有易受攻击的类(具有URL参数和执行恶意代码的构造函数),攻击者可控制JDBC连接参数的话,便可以指定加载这个恶意类,同时执行恶意类中的代码。
3. 漏洞修复代码
开发者通过修复`AvaticaHttpClient`类中反射加载指定的类的代码,判断其为继承自`AvaticaHttpClient`接口的类,这样就限制了执行恶意代码的问题。
漏洞修复建议
建议用户尽快升级`org.apache.calcite.avatica:avatica-core`到 1.22.0 或更高版本。
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/?src=wx
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
参考链接
https://lists.apache.org/thread/5csdj8bv4h3hfgw27okm84jh1j2fyw0c
https://github.com/apache/calcite-avatica/commit/0c097b6a685fc1f97f151505a219976f15ed0c4c
https://calcite.apache.org/avatica/docs/client_reference.html?spm=a2c6h.12873639.article-detail.6.489c645ehtyq2a
