1

CVE-2016-3720 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3720的解释 比较模糊,但是阅读代码我发现了以下问题。即使在解决了这些问题之后,OWasp 依赖检查工具仍然会报告 jar 文件容易受到攻击。我认为在应用修复后它会出现误报。

CVE-2016-3720 在 Jackson 库中暴露了 XML 实体注入攻击。 https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing XML 实体注入攻击可以在 XML 文件的解析中创建一个无限循环。
这最终会耗尽应用程序服务器中的所有内存,或者它可以注入对外部站点的引用(这是报告的问题)。

不幸的是,旧版本的 Jackson 的源代码在 Github 上不可用,项目源版本只能回到 jackson-databind-2.0.0-RC1 级别。

如果您使用的是旧版本的 Spring,那么您可能无法升级到最新版本的 Jackson 2.x,所以现在您遇到了安全困境。如何在不升级 Spring 的情况下修复漏洞。

4

4 回答 4

3

这是你需要做的:

使用基于 Web 的反编译器 ( www.javadecompilers.com ),您可以获得 jar 文件 jackson-all-1.9.11.jar 的所有源代码。(这适用于任何版本的 Jackson )

The fixes are fairly simple!

In the 1.9.x version the following 2 files allow XML entity injection.
org/codehaus/jackson/xc/DomElementJsonDeserializer.java
org/codehaus/jackson/map/ext/DOMDeserializer.java

When you update the jar be sure to update the additional nested inner classes.


org/codehaus/jackson/map/ext/DOMDeserializer.class
org/codehaus/jackson/map/ext/DOMDeserializer$DocumentDeserializer.class
org/codehaus/jackson/map/ext/DOMDeserializer$NodeDeserializer.class
org/codehaus/jackson/xc/DomElementJsonDeserializer.class



In the  2.x.x version the package name has changed.
These files need to be modified


com/fasterxml/jackson/databind/ext/DOMDeserializer.java
com/fasterxml/jackson/dataformat/xml/XmlFactory.java

在 1.9 版本中停止实体注入的解决方案是在这两个文件中添加以下行。

.setFeature(javax.xml.XMLConstants.FEATURE_SECURE_PROCESSING, true);

这里是将它添加到反编译代码的位置,然后重新编译文件,并更新 jar 文件。

    public abstract class DOMDeserializer<T>
extends FromStringDeserializer<T> {
static final DocumentBuilderFactory _parserFactory;
static {
    _parserFactory = DocumentBuilderFactory.newInstance();

    /* CVE-2016-3720 */
    try {
        _parserFactory.setFeature(javax.xml.XMLConstants.FEATURE_SECURE_PROCESSING, true);
    } catch (ParserConfigurationException e) {
        e.printStackTrace();
    }
    // Move this line from the static block lower in the file.
    _parserFactory.setNamespaceAware(true);

}

 public DomElementJsonDeserializer() {
    super(Element.class);
    try {
        DocumentBuilderFactory bf = DocumentBuilderFactory.newInstance();
        bf.setNamespaceAware(true);
        /* CVE-2016-3720 */ 
        bf.setFeature(javax.xml.XMLConstants.FEATURE_SECURE_PROCESSING, true);

        this.builder = bf.newDocumentBuilder();
    }
    catch (ParserConfigurationException e) {
        throw new RuntimeException();
    }
}

在 2.x 版本中,您需要稍微修改这个文件。添加行:

xmlIn.setProperty("javax.xml.stream.isSupportingExternalEntities", Boolean.FALSE);


package com.fasterxml.jackson.dataformat.xml;

public class XmlFactory
extends JsonFactory {


   protected XmlFactory(ObjectCodec oc, int xpFeatures, int xgFeatures, XMLInputFactory xmlIn, XMLOutputFactory xmlOut, String nameForTextElem) {
    super(oc);
    this._xmlParserFeatures = xpFeatures;
    this._xmlGeneratorFeatures = xgFeatures;
    this._cfgNameForTextElement = nameForTextElem;
    if (xmlIn == null) {
        xmlIn = XMLInputFactory.newInstance();
        xmlIn.setProperty("javax.xml.stream.isSupportingExternalEntities", Boolean.FALSE);
    }

我希望你觉得这很有帮助。

于 2016-06-24T16:09:23.837 回答
1

即使在解决了这些问题之后,OWasp 依赖检查工具仍然会报告 jar 文件容易受到攻击。我认为在应用修复后它会出现误报。

请注意,OWASP DC 不扫描代码。它使用 JAR 名称等证据将其与 NVD 中的数据相关联,因此如果 jar 的名称指示易受攻击的版本,它将识别为易受攻击。当您制作了一个您断言的 jar 已解决漏洞时,您可以使用包含以下内容的抑制文件:

<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://www.owasp.org/index.php/OWASP_Dependency_Check_Suppression">
  <suppress>
    <notes>There I fixed that</notes>
    <sha1>YOUR-JAR-SHA1-HERE</sha1>
    <cve>CVE-2016-3720</cve>
  </suppress>
</suppressions>

请注意,如果您已经在使用抑制文件,则只需将新<suppress>记录添加到现有文件中。

于 2016-06-30T19:03:42.613 回答
1

jackson 1 源代码可在https://github.com/FasterXML/jackson-1获得。我创建了一个拉取请求:https ://github.com/FasterXML/jackson-1/pull/1

于 2016-07-01T00:54:04.630 回答
0

XmlFactory关于第二部分的一点说明:可以通过显式实例化(通过XmlMapper)而不是修改源代码。构造函数从 2.4 开始可用。这避免了必须管理修改后的 jar。

于 2016-06-24T16:50:10.827 回答