Apache Commons BCEL 任意文件写漏洞(CVE-2022-42920)分析报告

漏洞概述

Apache Commons BCEL（Byte Code Engineering Library）是一个用于分析、创建和操作Java类文件(.class)的库。该库中的漏洞允许攻击者通过越界写入问题生成任意字节码，可能导致任意文件写入。

漏洞本质是由于BCEL在处理常量池时未对传入的常量数组大小进行适当限制，导致攻击者可以通过构造特制的常量数组实现越界写入，最终可能将恶意字节码写入文件系统。

影响版本

Apache Commons BCEL 6.6.0之前的所有版本

技术背景

BCEL核心功能

BCEL提供以下主要功能：

分析现有Java类文件
动态创建新的Java类
操作已存在的类文件
包含JustIce字节码验证器，提供比标准JVM更详细的错误信息

关键类说明

ClassGen：用于构建Java类的模板类，可以基于现有类初始化
ConstantPoolGen：用于构建常量池，提供addXXX方法添加各种类型常量
MethodGen：用于生成方法
InstructionList：用于构建字节码指令序列

漏洞分析

漏洞根源

漏洞位于ConstantPoolGen类中，具体问题如下：

在初始化常量数组时，未对传入的常量数组cs的大小进行限制
默认BUFFER大小为256，计算大小时取max(256, cs.length + 64)
当cs.length + 64 > 65535时，会导致越界写入

漏洞触发流程

攻击者构造一个包含大量垃圾数据前导的常量数组
在数组末尾放置恶意常量数据
调用getFinalConstantPool()获取ConstantPool对象
调用dump方法将二进制流转换为文件流
恶意数据被写入文件系统

漏洞利用示例

正常BCEL使用示例

// 创建类生成器
ClassGen cg = new ClassGen("HelloWorld", "java.lang.Object",
        "<generated>", ACC_PUBLIC | ACC_SUPER, null);
ConstantPoolGen cp = cg.getConstantPool();

// 创建方法
MethodGen mg = new MethodGen(ACC_STATIC | ACC_PUBLIC, Type.VOID,
        new Type[] { new ArrayType(Type.STRING, 1) },
        new String[] { "argv" }, "main", "HelloWorld", il, cp);

// 添加字节码指令
InstructionFactory factory = new InstructionFactory(cg);
il.append(factory.createNew("java.io.BufferedReader"));
// ... 更多指令 ...

// 写入类文件
cg.getJavaClass().dump("HelloWorld.class");

漏洞利用构造

通过添加大量垃圾数据触发越界：

// 添加65500个变量作为填充
for (int j = 0; j < 65500; j++) {
    lg = mg.addLocalVariable("name" + j, Type.STRING, null, null);
    int name = lg.getIndex();
    il.append(InstructionConstants.ACONST_NULL);
    lg.setStart(il.append(new ASTORE(name)));
}

此时constantPool.length=65570，超过限制，导致越界写入。

漏洞修复

官方在6.6.0版本中通过以下方式修复：

在ConstantPoolGen构造方法中增加常量数组大小检查
在adjustSize方法中添加大小限制判断
在dump方法转换时增加限制

关键修复代码：

// 增加上限检查
if (size > ConstantPool.MAX_CONSTANT_POOL_ENTRIES) {
    throw new IllegalArgumentException("Constant pool size too large");
}

防御建议

升级到Apache Commons BCEL 6.6.0或更高版本
对使用BCEL生成类文件的功能进行输入验证
限制生成的类文件大小和复杂度
在沙箱环境中执行类生成操作

总结

该漏洞展示了在字节码操作库中边界检查的重要性。虽然影响范围有限，但揭示了在类文件生成过程中潜在的安全风险。开发人员应特别注意：

所有涉及内存分配的操作都应进行边界检查
文件写入操作应进行严格的权限控制
动态代码生成功能应视为高风险操作并采取相应防护措施

通过分析此类漏洞，可以更好地理解Java字节码操作的安全边界和潜在风险点。

Apache Commons BCEL 任意文件写漏洞(CVE-2022-42920)分析报告漏洞概述 Apache Commons BCEL（Byte Code Engineering Library）是一个用于分析、创建和操作Java类文件(.class)的库。该库中的漏洞允许攻击者通过越界写入问题生成任意字节码，可能导致任意文件写入。漏洞本质是由于BCEL在处理常量池时未对传入的常量数组大小进行适当限制，导致攻击者可以通过构造特制的常量数组实现越界写入，最终可能将恶意字节码写入文件系统。影响版本 Apache Commons BCEL 6.6.0之前的所有版本技术背景 BCEL核心功能 BCEL提供以下主要功能：分析现有Java类文件动态创建新的Java类操作已存在的类文件包含JustIce字节码验证器，提供比标准JVM更详细的错误信息关键类说明 ClassGen ：用于构建Java类的模板类，可以基于现有类初始化 ConstantPoolGen ：用于构建常量池，提供 addXXX 方法添加各种类型常量 MethodGen ：用于生成方法 InstructionList ：用于构建字节码指令序列漏洞分析漏洞根源漏洞位于 ConstantPoolGen 类中，具体问题如下：在初始化常量数组时，未对传入的常量数组 cs 的大小进行限制默认 BUFFER 大小为256，计算大小时取 max(256, cs.length + 64) 当 cs.length + 64 > 65535 时，会导致越界写入漏洞触发流程攻击者构造一个包含大量垃圾数据前导的常量数组在数组末尾放置恶意常量数据调用 getFinalConstantPool() 获取 ConstantPool 对象调用 dump 方法将二进制流转换为文件流恶意数据被写入文件系统漏洞利用示例正常BCEL使用示例漏洞利用构造通过添加大量垃圾数据触发越界：此时 constantPool.length=65570 ，超过限制，导致越界写入。漏洞修复官方在6.6.0版本中通过以下方式修复：在 ConstantPoolGen 构造方法中增加常量数组大小检查在 adjustSize 方法中添加大小限制判断在 dump 方法转换时增加限制关键修复代码：防御建议升级到Apache Commons BCEL 6.6.0或更高版本对使用BCEL生成类文件的功能进行输入验证限制生成的类文件大小和复杂度在沙箱环境中执行类生成操作总结该漏洞展示了在字节码操作库中边界检查的重要性。虽然影响范围有限，但揭示了在类文件生成过程中潜在的安全风险。开发人员应特别注意：所有涉及内存分配的操作都应进行边界检查文件写入操作应进行严格的权限控制动态代码生成功能应视为高风险操作并采取相应防护措施通过分析此类漏洞，可以更好地理解Java字节码操作的安全边界和潜在风险点。