产品战略专家梁宁确认出席AICon北京站,分享AI时代下的商业逻辑与产品需求 了解详情
写点什么

Java 反射库中的安全漏洞在 30 个月后终于修复了

  • 2016-05-16
  • 本文字数:2894 字

    阅读完需:约 9 分钟

2013 年 7 月,安全组织 Security Explorations 发现了 Java 7u25 中的一个安全漏洞,通过这个漏洞攻击者可以完全摆脱 Java 沙箱。Oracle 在更新的 7u40 中包含了一个补丁,但是据 Security Explorations 在今年早些时候声称,这个补丁仅仅在理念上对其进行了修正,对代码稍加修改之后,依然可以利用这个漏洞。另外,随后的研究表明这个漏洞甚至比最初报道的更加严重。在这个问题公开之后,Oracle 发布了一个补丁,作为 8u77 的一部分。

这个漏洞可以在新的反射库中找到,该库从 Java 7 以后均可以使用,更具体来讲,是在使用新的 MethodHandle 类动态访问和调用方法的时候。它与不同 ClassLoader 加载类的方式有关。要理解这个问题,需要一些基本的知识,这些知识涉及到 Java ClassLoader 的工作方式, 因为类加载是在 Java 中大家了解最少的领域之一,所以在阐述这个问题本身之前,我们会首先概述一下这个理念。

Java ClassLoader

Java 能够在运行时从各种来源动态加载代码。这种功能是通过一系列名为 ClassLoader 的特殊类来实现的。标准的 Java 实现会提供多个 ClassLoader 来加载类,它们能够从文件系统、URL 或压缩文件等位置加载类,不过 Java 也为开发人员提供了创建自定义 ClassLoader 的能力,以应对个性化的需求。与 ClassLoader 交互的常见方式是调用其 loadClass(String) 方法,这个方法会接受类的名称,如果能够找到的话,就会返回相关的 Class 对象,如果找不到的话,就会抛出 ClassNotFoundException 异常。在 Java 应用中的每个类都是通过某个 ClassLoader 按照这种方式加载的。

通过设置父 ClassLoader,这些不同的 ClassLoader 能够互相连接起来,形成一个层级的结构。如果没有设置父 ClassLoader 的话,那么父 ClassLoader 默认将会设置为加载该 ClassLoader 的那个类加载器(ClassLoader 本身也是类,因此也需要通过某个 ClassLoader 来进行加载)。如果提供了父 ClassLoader 的话,那么 ClassLoader 的默认行为就是将加载所请求类的任务委托给它的父加载器,只有父加载器(或祖父加载器)无法加载这个类的时候,这个 ClassLoader 本身才会试图加载所请求的类。但是,自定义加载器的创建者并非强制性要求遵循这种默认行为,他们完全可以选择实现不同的行为。

当 Java 应用启动的时候,如下的 ClassLoader 将会按照顺序发挥作用:

  1. Bootstrap ClassLoader:JVM 本身的一部分,因此在每个 JVM 中,它的实现都是特有的。这个 ClassLoader 没有父 ClassLoader,它用于加载 java.lang 包下的核心类。
  2. Extension ClassLoader:负责加载扩展库中的类,在每个 Java 安装环境下可能会有所差别。Extension ClassLoader 将会加载 java.ext.dirs 变量所指定路径下的所有内容。
  3. Application ClassLoader:负责加载应用程序的主类以及所有位于应用类路径下的类。
  4. Custom ClassLoader:应用程序中使用的所有其他的 ClassLoader。它是可选的,根据应用的情况不同,它可能并不存在。

在运行时,使用自定义的 ClassLoader 动态加载类为很多的应用创造了可能性,否则的话,有些功能可能是无法实现的,不过,遗憾的是,它也造成了很多的安全问题,尤其是在类仿造(class impersonation)方面。理论上,开发人员可以创建一个自定义的 ClassLoader,让它来加载原始类 java.lang.Object 的一个模拟实现,并在应用程序中使用这个自定义的对象。这可能会在两个方面引发安全问题:这个自定义的对象能够访问 java.lang 包下所有包范围内可见的类内容;其次,这个自定义的 Object 会被 JVM 作为标准的 Object 对象,因此会将其作为由 Java 实现的可信任的类。

为了保护 Java 以应对这些安全问题,Java 类要通过三个属性来进行识别:类名、包以及 ClassLoader 的引用。如果两个不同的类具有相同的类名和包名,但是由不同的 ClassLoader 所加载的话,Java 会认为它们是不相等的,在它们两者之间进行赋值的话,将会导致 ClassCastException 异常。这样的话,就能保护环境免受类仿造的攻击。

部分修复以及由此导致的漏洞

Security Explorations 最早报告了这个漏洞,并将其归类为 CVE-2013-5838 ,这个漏洞可以描述为,当通过 Method Handle 调用方法时,对于被调用方法的那个类,它的 ClassLoader 并没有进行检查,这意味着攻击者可以按照上文所述的方法进行类的仿造。

展现原始漏洞的代码样例,目标类的 ClassLoader 并没有进行检查;来源: Security Explorations

Oracle 在 2013 年 9 月提供了一个修正,作为 Java 7u40 的一部分,包含了类可见性的检查,它会对比预期类型和传入类型的 ClassLoader,对比方式如下:

  • 如果两个 ClassLoader 相同的话,那么按照定义这两个类型是完全兼容的;
  • 如果其中一个 ClassLoader 是另一个 ClassLoader 的父加载器,那么它认为这两个类是通过正常的 ClassLoader 层级结构加载的,因此将其视为相等是安全的。

在第二项检查中,Security Explorations 发现 exploit 稍加修改就可能继续有效。首先,用于仿造类的自定义 ClassLoader 将目标 ClassLoader 设置为它的父类加载器,这可以通过 API 以参数的方式进行设置:

复制代码
URLClassLoader lookup_CL = URLClassLoader.newInstance(urlArray, member_CL);

通过该机制将自定义的 ClassLoader 作为等级结构的一部分,来源: Security Explorations

然后,鉴于 ClassLoader 的默认行为是将加载类的任务委托给它的父加载器,攻击者就需要确保父 ClassLoader 无法加载到这个类,这样他们自定义的 ClassLoader 就能发挥作用了。借助 Java 以网络方法加载类的过程,这种攻击模式得到了印证:如果这个类通过 URL 位置的方式来进行定义的话,父 ClassLoader 将会试图连接相关的服务器并获取这个类的代码,此时,预先构建好的 HTTP 服务器可以返回 404 NOT FOUND 错误,让父 ClassLoader 加载这个类出现失败,因此就会将控制权转移给自定义的 ClassLoader。

通过自定义的 HTTP 服务器,强制父 ClassLoader 加载类失败之后的代码流,来源: Security Explorations

当这个缺陷 2016 年 3 月重新爆出时,当时最新的可用版本是 8u74,这个版本被证明是有漏洞的,Oracle 在 8u77 中为其提供了修正。但是,在 8u77 的发布说明中,这个漏洞依然描述为“会影响桌面设备上,Web 浏览器中所运行的 JavaSE[并且] 不会影响到 Java 部署环境,比如典型的服务器或独立部署的桌面应用”,但是事实证明,它还是会影响服务器配置以及 Google App Engine 的 Java 环境。

修正:2016 年 4 月 29 日

本文错误地认为这个漏洞在 8u77、8u91 和 8u92 版本中依然存在,实际上,在 8u77 中它已经得到了修正。在 8u77 的发布说明中将其描述为对 CVE-2016-0636 的修正,具体描述是这样的“未指明的漏洞 […] 借助 Hotspot 子组件中未知的感染内容”并且没有包含对本文中所提及的 CVE-2013-5838 的明确引用。但是,Security Explorations 指出 CVE-2016-0636 是针对 Issue 69 的一个 CVE 编号,而 Issue 69 是他们自己代指最初 CVE-2013-5838 的一种方式。(在本文英文原文的评论区,讨论了该问题解决的相关过程,感兴趣的读者可以访问原文查看。——译者注)

查看英文原文 Vulnerability in Java Reflection Library Fixed after 30 Months

2016-05-16 19:004113

评论

发布
暂无评论
发现更多内容

A8hash哈希竞猜娱乐游戏开发(源码搭建)

开发微hkkf5566

内存性能测试工具

穿过生命散发芬芳

5月月更 内存性能测试

CopyOnWriteArrayList 源码分析-删除

zarmnosaj

5月月更

[protobuf 笔记]03-Protobuf 生成各语言类库

南吕

protobuf

Flutter的跨端优势

Geek_99967b

flutter 小程序

融云斩获2022年中国信创产业拳头奖“最佳通信与视频会议品牌”大奖

融云 RongCloud

过去一周行业热点|Hoo labs开启OUTSPACE项目支持

区块链前沿News

Hoo labs

Web 编程入门:什么是Web API?

宇宙之一粟

Web API 5月月更

OneFlow最新版本登陆矩池云,快来体验吧

OneFlow

K8s 网关选型初判:Nginx 还是 Envoy?

阿里巴巴云原生

阿里云 容器 微服务 云原生 网关

激活数字经济澎湃动能

CECBC

不改一行代码,将微信小程序生成商用App可行吗?

Speedoooo

微信小程序 APP开发 小程序转app 用户留存

最好用的 6 款 Vue 实时消息提示通知(Message/Notification)组件推荐与测评

蒋川

JavaScript Vue 组件 低代码平台 消息提示通知

存储厂商旌存半导体加入龙蜥社区

OpenAnolis小助手

芯片 龙蜥社区 CLA 旌存半导体

【网络安全】SQL注入新思维之webshell提权

网络安全学海

网络安全 信息安全 渗透测试 SQL注入 漏洞挖掘

中国AI:在"相牛班"的春天里

白洞计划

Flutter 基于 WebSocket 实现即时通讯

岛上码农

flutter ios 安卓开发 跨平台开发 5月月更

flutter系列之:flutter架构什么的,看完这篇文章就全懂了

程序那些事

flutter 架构 程序那些事 5月月更

一次软件的可靠性测试实践

PingCode研发中心

软件测试 开发 PingCode 软件可靠性

哈希Hash竞猜游戏系统规则开发

薇電13242772558

区块链 哈希值

开箱即用!Linux 内核首个原生支持,让你的容器体验飞起来!| 龙蜥技术

OpenAnolis小助手

Linux 容器化 内核 高性能存储 龙蜥技术

[protobuf 笔记]01- 认识 protobuf

南吕

protobuf

什么是微幕小程序

Geek_99967b

小程序

竟然能在App里拉起一个小程序?

Geek_99967b

小程序

学会Pandas这六大函数,数据分析够用了

happymove

Python 数据分析 pandas Python数据分析 5月月更

满足未来8-10年业务需求,云南红塔银行核心系统升级

OceanBase 数据库

oceanbase 红塔银行

富滇银行完成数字化升级|OceanBase数据库助力布局分布式架构中台

OceanBase 数据库

oceanbase 富滇银行

[protobuf 笔记]02-protobuf 语法

南吕

protobuf

幸运赛车赛马游艇游戏开发逻辑分析

开发微hkkf5566

不改一行代码,将微信小程序转成商业App?

Geek_99967b

小程序

小程序如何与智能电视相结合?

Geek_99967b

小程序

Java反射库中的安全漏洞在30个月后终于修复了_Java_Abraham Marín Pérez_InfoQ精选文章