当地时间7月17日,Drupal官方发布安全通告修复了一个访问绕过漏洞(CVE-2019-6342)。在Drupal 8.7.4中,当启用实验性工作区模块(experimental Workspaces module)时,将为攻击者创造访问绕过的条件。Drupal官方将该漏洞定级为严重(Critical)。
Drupal Version == 8.7.4
安装Drupal 8.7.4版本,登录管理员账户,进入后台/admin/modules,勾选Workspaces模块并安装
在页面上方出现如下页面则安装成功,管理员可以切换Stage模式或者Live模式
另外开启一个浏览器访问首页(未登录任何账户),访问http://127.0.0.1/drupal-8.7.4/node/add/article
可直接添加文章,无需作者或管理员权限。
Workspaces是Drupal 8.6核心新增的实验模块,主要功能是方便管理员一次性发布/修改多个内容。
Workspaces有两种模式,分别为Stage模式和Live模式,,默认为Live模式,两者的区别在于:
Stage模式下修改内容不会及时更新,所有文章修改完毕后管理员可以通过“Deploy to Live”发布到实际环境,相当于一个暂存区;
Live下更新是即时的,发布后站点内容立即更新。
在这两种模式下,由于编码失误导致存在一个缺陷:匿名用户无需登录即可创建/发布/修改/删除文章,问题点出现在权限鉴定模块EntityAccess下。
当用户发起请求时,会根据当前操作回调相关权限检查模块对当前用户权限进行检查,请求调用为事件监听器(EventListener)的RouterListener类,在其onKernelRequest()方法中调用AccessAwareRouter类的matchRequest()方法,随后调用AccessManager->checkRequest()方法,最后在AccessManager->performCheck()方法中通过call_user_func_array回调对应的操作进入到具体的操作权限检查
例如发布文章时回调的是access_check.node.add,相关方法在NodeAccessControlHandler控制器中定义,这个控制器继承自EntityAccessControlHandler,在父类的createAccess()方法中回调对应操作的create_access权限,过程中会拼接上模块名和相应钩子作为回调函数,
$function = $module . '_' . $hook
例如此处回调的是workspaces_entity_create_access()方法,
在调用entityCreateAccess()方法时有一个关键操作bypassAccessResult
bypassAccessResult()方法是一个检查用户是否有“绕过节点访问权限(bypass node access)”的操作,是Workspaces中特有的,这个方法决定了“如果用户在各自的激活的工作区中,那么他将拥有所有权限”,这里的所有权限指文章相关的增删改操作。
这个权限虽然奇怪但确实是一个设计好的功能,正常操作应该在后台admin/people/permissions中配置好用户是否拥有这个权限,默认情况下匿名用户和认证用户都没有权限
当开启了“Bypass content entity access in own workspace”权限后用户才可以在未登录的情况下发布/删除文章,而此次漏洞就绕过了这个配置,默认情况下进行了越权操作。
具体分析一下bypassAccessResult()的实现,整个过程返回的是AccessResultAllowed对象或者AccessResultNeutral对象,所谓“中立”是因为后续还可能会对结果再做判断,但在这个漏洞中其实就是access和forbidden的区别:
首先获取了当前激活的工作区,然后通过allowedIf判断当前用户是否有权限,随后这些数据存入缓存,包括缓存内容、缓存标签和过期时间。然后再经过一次allowedIfHasPermission判断,这个方法的作用是,如果权限不对就设置一个reason,在这个漏洞中没有起到作用,到目前为止权限校验都是正常的,在没有配置后台工作区匿名权限的时候,返回的是一个AccessResultNeutral对象,也就是“禁止”。
接下来就是出现问题的地方
$owner_has_access->orIf($access_bypass);
通过补丁可以发现漏洞就修补了这行语句,把orIf换成了andIf
这两个方法的设计逻辑比较复杂,最主要的功能是对一个如果返回为“中立”的结果做后续判断,如果采用orIf方法合并,那么是否允许由调用者决定;如果以andIf方法合并,则被当做禁止。
具体到此次漏洞上的区别如下方图片所示:
返回的是AccessResultAllowed对象
andIf()
在检查完毕后会回到AccessAwareRouter->checkAccess()方法,在该方法中对返回结果进行了判断,AccessResultNeutral的isAllowed()因此会抛出异常
返回到页面上则是Access denied
Drupal官方已在8.7.5版本中修复了该漏洞,请受影响的用户尽快升级进行防护。
对于无法立即更新的情况,也可采用缓解措施,即禁用受影响站点上的工作区模块。
注意,还需要进行一些手动操作。对于启用了工作区模块的站点,需要运行update.php以确保清除所需的缓存。如果存在反向代理缓存或CDN,也建议进行清除。