c3p0, библиотека пула соединений JDBC, уязвима для атак через вредоносно созданные сериализованные Java-объекты и экземпляры javax.naming.Reference. Некоторые реализации ConnectionPoolDataSource c3p0 имеют свойство userOverridesAsString, которое концептуально представляет собой Map<String,Map<String,String>>. До версии 0.12.0 это свойство поддерживалось как сериализованный объект в шестнадцатеричном кодировании.
Любой злоумышленник, который сможет сбросить это свойство в существующем ConnectionPoolDataSource или с помощью злонамеренно созданных сериализованных объектов или экземпляров javax.naming.Reference, может выполнить неожиданный код в CLASSPATH приложения. Опасность этой уязвимости была сильно усилена уязвимостями в основной зависимости c3p0, mchange-commons-java. Эта библиотека включает код, который отражает ранние реализации функциональности JNDI, включая нерегулированную поддержку удаленных значений FactoryClassLocation.
Злоумышленники могут установить сериализованные объекты с шестнадцатеричной кодировкой `userOverridesAsString` c3p0, которые включают объекты, «косвенно сериализованные» через ссылки JNDI. Десериализация этих объектов и разыменование встроенных объектов javax.naming.Reference могут спровоцировать загрузку и выполнение вредоносного кода из удаленного FactoryClassLocation. Хотя опасность, которую представляют уязвимости c3p0, усугубляется уязвимостями в mchange-commons-java, использование шестнадцатеричного числа сериализованных объектов Java в качестве формата для записываемого свойства Java-Bean для объектов, которые могут быть доступны через интерфейсы JNDI, представляет собой серьезную независимую уязвимость.
Свойство userOverridesAsString классов ConnectionPoolDataSource c3p0 было переопределено для использования безопасного формата на основе CSV, а не для использования потенциально опасной десериализации объектов Java. c3p0-0.12.0+ и выше зависят от mchange-commons-java 0.4.0+, который ограничивает поддержку удаленных значений FactoryClassLocation с помощью параметров конфигурации, которые по умолчанию имеют ограничительные значения. c3p0 дополнительно применяет новый mchange-commons-java `com.mchange.v2.naming.nameGuardClassName`, чтобы предотвратить внедрение неожиданных, потенциально удаленных имен JNDI. Для версий c3p0 до 0.12.0 не существует поддерживаемого обходного пути.
Показать оригинальное описание (EN)
c3p0, a JDBC Connection pooling library, is vulnerable to attack via maliciously crafted Java-serialized objects and `javax.naming.Reference` instances. Several c3p0 `ConnectionPoolDataSource` implementations have a property called `userOverridesAsString` which conceptually represents a `Map<String,Map<String,String>>`. Prior to v0.12.0, that property was maintained as a hex-encoded serialized object. Any attacker able to reset this property, on an existing `ConnectionPoolDataSource` or via maliciously crafted serialized objects or `javax.naming.Reference` instances could be tailored execute unexpected code on the application's `CLASSPATH`. The danger of this vulnerability was strongly magnified by vulnerabilities in c3p0's main dependency, mchange-commons-java. This library includes code that mirrors early implementations of JNDI functionality, including ungated support for remote `factoryClassLocation` values. Attackers could set c3p0's `userOverridesAsString` hex-encoded serialized objects that include objects "indirectly serialized" via JNDI references. Deserialization of those objects and dereferencing of the embedded `javax.naming.Reference` objects could provoke download and execution of malicious code from a remote `factoryClassLocation`. Although hazard presented by c3p0's vulnerabilites are exarcerbated by vulnerabilities in mchange-commons-java, use of Java-serialized-object hex as the format for a writable Java-Bean property, of objects that may be exposed across JNDI interfaces, represents a serious independent fragility. The `userOverridesAsString` property of c3p0 `ConnectionPoolDataSource` classes has been reimplemented to use a safe CSV-based format, rather than rely upon potentially dangerous Java object deserialization. c3p0-0.12.0+ and above depend upon mchange-commons-java 0.4.0+, which gates support for remote `factoryClassLocation` values by configuration parameters that default to restrictive values. c3p0 additionally enforces the new mchange-commons-java `com.mchange.v2.naming.nameGuardClassName` to prevent injection of unexpected, potentially remote JNDI names. There is no supported workaround for versions of c3p0 prior to 0.12.0.
Характеристики атаки
Последствия
Строка CVSS v4.0