Apache发布更新Commons-Collections3.2.2，却仍未能解决反序列化安全问题

标签：

很遗憾地告诉大家，本次更新实际上并没有真实地修复该反序列化安全漏洞，仅是增加了安全检查：仅要求配置系统属性，属性名称为“org.apache.commons.collections.enableUnsafeSerialization”，属性值为“true”，否则会抛出UnsupportedOperationException异常。

分析过程：
        由于手上没有3.2.1版本的源代码，因此采用的是反编译3.2.1和本次的3.2.2版本jar包，然后使用对比工具 对比反编译后的源代码，得出下面的结果：

在 org.apache.commons.collections.functors.FunctorUtils 类中新增加检查属性配置代码如下（注意该新增方法的可访问性是包内可访问）：

    static void checkUnsafeSerialization(Class clazz) {
        String unsafeSerializableProperty;
        try {
            unsafeSerializableProperty = (String) AccessController.doPrivileged(new PrivilegedAction() {
                public Object run() {
                    return System.getProperty("org.apache.commons.collections.enableUnsafeSerialization");
                }
            });
        } catch (SecurityException ex) {
            unsafeSerializableProperty = null;
        }
        if (!"true".equalsIgnoreCase(unsafeSerializableProperty)) {
            throw new UnsupportedOperationException("Serialization support for " + clazz.getName() + " is disabled for security reasons. " + "To enable it set system property ‘" + "org.apache.commons.collections.enableUnsafeSerialization" + "‘ to ‘true‘, " + "but you must ensure that your application does not de-serialize objects from untrusted sources.");
        }
    }

在该包下的若干实现类中增加了如下两个私有方法：

    private void writeObject(ObjectOutputStream os) throws IOException {
        FunctorUtils.checkUnsafeSerialization(CloneTransformer.class);
        os.defaultWriteObject();
    }

    private void readObject(ObjectInputStream is) throws ClassNotFoundException, IOException {
        FunctorUtils.checkUnsafeSerialization(CloneTransformer.class);
        is.defaultReadObject();
    }

（以上两个私有方法初步估计是通过反射调用的）

总结：
       除了其他方面的bug更新以外，针对此次的反序列化安全问题并没有得到解决，因为想要正常使用的话，你会被强制要求配置上述系统属性。

来自乌云的反序列化安全漏洞分析报告： http://drops.wooyun.org/papers/10467

Apache发布更新Commons-Collections3.2.2，却仍未能解决反序列化安全问题

标签：

原文地址：http://my.oschina.net/yaray/blog/531005