CVE-2023-46226 Apache iotdb远程代码执行漏洞

发布时间:2024年01月19日

项目介绍

Apache IoTDB 是针对时间序列数据收集、存储与分析一体化的数据管理引擎。它具有体量轻、性能高、易使用的特点,完美对接 Hadoop 与 Spark 生态,适用于工业物联网应用中海量时间序列数据高速写入和复杂分析查询的需求。

项目地址

https://iotdb.apache.org/

漏洞概述

JEXL是一个表达式语言引擎,全称是Java表达式语言(Java Expression Language),可以在 java 程序中动态地运算一些表达式

在受影响版本中,由于IoTDB通过UDTFJexl.java实现 JEXL 表达式支持。攻击者可以通过配置 UDF,调用 JEXL表达式来执行 JAVA命令,导致存在远程代码执行漏洞。

影响版本

Apache IoTDB<= 1.2.2

环境搭建

1)下载1.2.2版本的IotDB

https://archive.apache.org/dist/iotdb/1.2.2/

2)启动IotDB

sbin\start-standalone.bat

漏洞复现

漏洞分析

Java Expression Language (JEXL) 是一个表达式语言引擎。Apache IoTdb使用JEXL 来扩展 UDF。具体解析位置如下:

获取了sql中的expr参数值,然后调用jexl3库构建script

在probeOutputDataType中最终执行

分析发现,IoTdb没有对该参数进行任何过滤,由于该udf是内置udf,当攻击者具备权限执行sql语句时,可以直接调用,而IoTdb的默认账号密码是root、root,如果未修改账号密码,攻击者将直接控制服务器。

官方直接通过删除了相关udf来修复了该漏洞。

修复方式

参考链接

https://iotdb.apache.org/zh/UserGuide/latest/stage/Operators-Functions/Lambda.html

https://github.com/apache/iotdb/commit/96f2164fe03c07055a42d92049f61adb1cecd3cb

文章来源:https://blog.csdn.net/LJQClqjc/article/details/135704795
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。