CVE-2023-46226 Apache iotdb远程代码执行漏洞

项目介绍

Apache IoTDB 是针对时间序列数据收集、存储与分析一体化的数据管理引擎。它具有体量轻、性能高、易使用的特点,完美对接 Hadoop 与 Spark 生态,适用于工业物联网应用中海量时间序列数据高速写入和复杂分析查询的需求。

项目地址

https://iotdb.apache.org/

漏洞概述

JEXL是一个表达式语言引擎,全称是Java表达式语言(Java Expression Language),可以在 java 程序中动态地运算一些表达式

在受影响版本中,由于IoTDB通过UDTFJexl.java实现 JEXL 表达式支持。攻击者可以通过配置 UDF,调用 JEXL表达式来执行 JAVA命令,导致存在远程代码执行漏洞。

影响版本

Apache IoTDB<= 1.2.2

环境搭建

1)下载1.2.2版本的IotDB

https://archive.apache.org/dist/iotdb/1.2.2/

2)启动IotDB

sbin\start-standalone.bat

漏洞复现

漏洞分析

Java Expression Language (JEXL) 是一个表达式语言引擎。Apache IoTdb使用JEXL 来扩展 UDF。具体解析位置如下:

获取了sql中的expr参数值,然后调用jexl3库构建script

在probeOutputDataType中最终执行

分析发现,IoTdb没有对该参数进行任何过滤,由于该udf是内置udf,当攻击者具备权限执行sql语句时,可以直接调用,而IoTdb的默认账号密码是root、root,如果未修改账号密码,攻击者将直接控制服务器。

官方直接通过删除了相关udf来修复了该漏洞。

修复方式

参考链接

https://iotdb.apache.org/zh/UserGuide/latest/stage/Operators-Functions/Lambda.html

https://github.com/apache/iotdb/commit/96f2164fe03c07055a42d92049f61adb1cecd3cb

相关推荐
阿絮~9 小时前
Apache RocketMQ进阶之路阅读笔记和疑问
笔记·apache·rocketmq
时序数据说2 天前
为什么时序数据库IoTDB选择Java作为开发语言
java·大数据·开发语言·数据库·物联网·时序数据库·iotdb
时序数据说2 天前
时序数据库IoTDB用户自定义函数(UDF)使用指南
大数据·数据库·物联网·开源·时序数据库·iotdb
Fireworkitte3 天前
Apache POI 详解 - Java 操作 Excel/Word/PPT
java·apache·excel
蚂蚁数据AntData3 天前
从性能优化赛到社区Committer,走进赵宇捷在Apache Fory的成长之路
大数据·开源·apache·数据库架构
小湘西3 天前
Apache HttpClient 的请求模型和 I/O 类型
java·http·apache
时序数据说3 天前
Java类加载机制及关于时序数据库IoTDB排查
java·大数据·数据库·物联网·时序数据库·iotdb
时序数据说13 天前
时序数据库IoTDB数据导入与查询功能详解
大数据·数据库·开源·时序数据库·iotdb
超级小忍13 天前
Spring Boot 集成 Apache Kafka 实战指南
spring boot·kafka·apache
时序数据说15 天前
时序数据库双存储引擎技术解析
大数据·数据库·物联网·开源·时序数据库·iotdb