一、漏洞简述
2022年7月28日,Apache Calcite Avatica官方通告了一个RCE漏洞,Avatica 是一个用于构建数据库驱动程序的框架,它的驱动程序 `httpclient_impl` 连接属性可用作 RCE 向量,攻击者可利用该漏洞执行任意代码。
漏洞利用前提:
1. 攻击者可控制JDBC连接参数
2. 类路径中有易受攻击的类
漏洞严重等级为:高
受影响版本为:<1.22.0
二、漏洞分析
1. 漏洞缺陷点
驱动程序的实例化过程分为三个过程:
①通过反射查找并加载指定的类
②获取到指定的类之后通过getConstructor(URL.class)返回一个形参,作为URL的构造函数对象;通过`constructor.newinstance()`创建和初始化一个实例对象,同时把非空的url传到对应构造函数的形参中。
③把绑定了url的构造函数所形成的实例对象通过AvaticaHttpClint.class.cast()方法进行转换并返回AvaticaHttpClient对象。
在修复的1.22.0版本之前,驱动程序在实例化之前不会验证加载的类是否实现了预期的接口,这样可能会导致任意类加载执行代码。
2. 漏洞利用原理
因为代码中通过反射加载的类并不确保是安全的,所以如果服务端有易受攻击的类