Açık kaynak projesi, çeşitli SAML uygulamaları tarafından kullanılır
Araştırmacılar, birden fazla SAML uygulaması tarafından kullanılan bir Apache projesi olan Xalan-J’deki bir güvenlik açığının rastgele kod yürütülmesine izin verebileceği konusunda uyarıyor.
XSLT (Genişletilebilir Stil Sayfası Dil Dönüşümleri), XML belgelerini HTML gibi diğer biçimlere dönüştürebilen bir biçimlendirme dilidir.
Xalan-J, bir XSLT işlemcisinin Java sürümü uygulamasıdır.
Proje, Google Project Zero’dan Felix Wilhelm tarafından keşfedilen kötü amaçlı XSLT stil sayfalarını işlerken bir tamsayı kesme sorununa karşı savunmasızdır.
Web güvenlik açıklarıyla ilgili en son haberleri okuyun
Bu sorun, dahili XSLTC derleyicisi tarafından oluşturulan Java sınıfı dosyalarını bozmak ve isteğe bağlı Java bayt kodunu yürütmek için kullanılabilir, diye uyardı ve güvenilmeyen XSLT stil sayfalarını işlemek için Xalan-J kullanan yazılımda rastgele kod yürütülmesine izin verdi.
Wilhelm, OpenJDK’da XML imza doğrulaması sırasında XSLT dönüşümlerini gerçekleştirmek için Xalan-J kullanıldığından, bu hatanın potansiyel olarak çok sayıda Java tabanlı SAML uygulamasını etkilediği konusunda uyardı.
SAML, bir kullanıcının bir dizi oturum açma kimlik bilgilerini kullanarak birden çok web uygulamasına erişmesini sağlayan bir kimlik doğrulama yöntemidir.
Hafifletmeler
Araştırmacı, özellik kullanılarak XML imzaları için XSLT desteğinin devre dışı bırakılabileceğini, ancak SecurityManager olmadan çalışan uygulamalar için varsayılan değerin JDK 17’ye kadar yanlış olduğunu belirtti, “bu nedenle birçok uygulamanın buna karşı savunmasız olmasını beklerdim”.
Ağustos ayında yayınlanan bir blog yazısında Wilhelm, “neredeyse tamamen saldırgan tarafından kontrol edilen geçerli (ancak işe yaramaz) bir sınıf dosyası oluşturan” bu hata için bir Kavram Kanıtı (PoC) açığı yazabildiğini söyledi.
Devam etti: “Kendi bayt kodumu henüz başarılı bir şekilde yürütmemiş olsam da, bunun biraz daha fazla zaman yatırımı ile mümkün olduğundan çok eminim, bu yüzden şimdi bu sorunu bildiriyorum ve daha eksiksiz bir kanıtla takip edebilirim. -kavram daha sonraki bir aşamada.”
O zamandan beri başka bir araştırmacı, güvenlik açığı için kendi PoC’lerini üretti ve daha fazla ayrıntı GitHub’da bulunabilir.
Güvenlik açığı o zamandan beri Java Standard Edition (Java SE) ve Java Development Kit’in (JDK) açık kaynak uygulaması olan OpenJDK’da düzeltildi.
Wilhelm, Apache’nin kullanımdan kaldırılan sürümünde bunun düzeltilmediğini belirtiyor.
ÖNERİLEN ManageEngine güvenlik açığı, parola yönetim yazılımı için kod yerleştirme riski oluşturdu