Elasticsearch 任意文件读取漏洞(CVE-2015-3337)

admin
admin
admin
140350
文章
117
评论
2021年4月2日20:32:20评论127 views字数 2425阅读8分5秒阅读模式

Elasticsearch 任意文件读取漏洞(CVE-2015-3337)

园长 (喵~) | 2015-04-28 17:53

@盛大网络

elasticsearch又出新版本了,这次修复了一个任意文件读取漏洞(写的是目录遍历)。

 

官方的release notes

在这里看描述:https://github.com/elastic/elasticsearch/pull/10815

在这里看漏洞详情:https://github.com/spinscale/elasticsearch/commit/5d8e9e24c917b5f2c0958ba68be34a42efaeadbc

原来代码是:

if (!Files.exists(file) || Files.isHidden(file)) {

修改后加了验证

if (!Files.exists(file) || Files.isHidden(file) || !file.toAbsolutePath().normalize().startsWith(siteFile.toAbsolutePath())) { 

/** 
+     * Test normalizing of path 
+     */ 
+    @Test 
+    public void testThatPathsAreNormalized() throws Exception { 
+        // more info: https://www.owasp.org/index.php/Path_Traversal 
+        List notFoundUris = new ArrayList(); 
+        notFoundUris.add("/_plugin/dummy/../../../../../log4j.properties"); 
+        notFoundUris.add("/_plugin/dummy/../../../../../%00log4j.properties"); 
+        notFoundUris.add("/_plugin/dummy/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%aflog4j.properties");
+        notFoundUris.add("/_plugin/dummy/%2E%2E/%2E%2E/%2E%2E/%2E%2E/index.html");
+        notFoundUris.add("/_plugin/dummy/%2e%2e/%2e%2e/%2e%2e/%2e%2e/index.html");
+        notFoundUris.add("/_plugin/dummy/%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2findex.html");
+        notFoundUris.add("/_plugin/dummy/%2E%2E/%2E%2E/%2E%2E/%2E%2E/index.html");
+        notFoundUris.add("/_plugin/dummy/..........log4j.properties");
+ 
+        for (String uri : notFoundUris) { 
+            HttpResponse response = httpClient().path(uri).execute(); 
+            String message = String.format(Locale.ROOT, "URI [%s] expected to be not found", uri);
+            assertThat(message, response.getStatusCode(), equalTo(RestStatus.NOT_FOUND.getStatus()));
+        } 
+ 
+        // using relative path inside of the plugin should work 
+        HttpResponse response = httpClient().path("/_plugin/dummy/dir1/../dir1/../index.html").execute();
+        assertThat(response.getStatusCode(), equalTo(RestStatus.OK.getStatus()));
+        assertThat(response.getBody(), containsString("Dummy Site Plugin"));
+    }

最后会这样被调用: 

try {
    byte[] data = Files.readAllBytes(file);
    channel.sendResponse(new BytesRestResponse(OK, guessMimeType(sitePath), data));
} catch (IOException e) {
    channel.sendResponse(new BytesRestResponse(INTERNAL_SERVER_ERROR));
}

JDK7的Files把一个文件的内容读取后返回给客户端.

这里详情在:https://github.com/spinscale/elasticsearch/blob/5d8e9e24c917b5f2c0958ba68be34a42efaeadbc/src/main/java/org/elasticsearch/http/HttpServer.java

利用代码:curl http:// @wolf /_plugin/head/xxxxxx,注意curl版本.@wolf

[原文地址]

文章来源于lcx.cc:Elasticsearch 任意文件读取漏洞(CVE-2015-3337)

相关推荐: 讨论:探讨一下企业邮箱如何防范钓鱼邮件

探讨一下企业邮箱如何防范钓鱼邮件 her0ma | 2015-02-09 17:03 最近发现好多起针对公司员工的钓鱼邮件,我们目前的处理办法主要有以下几个方面: 1,发现之后及时发全员预警邮件; 2,因为用的是腾讯的企业邮箱,只能在事情发生之后针对一些主题关…

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月2日20:32:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Elasticsearch 任意文件读取漏洞(CVE-2015-3337)https://cn-sec.com/archives/317619.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息