Apache Ivy<2.5.2 存在XXE漏洞 (CVE-2022-46751)

漏洞类型	输入验证不恰当	发现时间	2023-08-21	漏洞等级	中危
MPS编号	MPS-2022-67125	CVE编号	CVE-2022-46751	漏洞影响广度	极小

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

2.2 APACHE Pony Mail 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

Apache Ivy 是一个管理基于 ANT 项目依赖关系的开源工具，文档类型定义(DTD)是一种文档类型定义语言,它用于定义XML文档中所包含的元素以及元素之间的关系。

Apache Ivy 2.5.2之前版本中，当解析自身配置、Ivy 文件或 Apache Maven 的 POM 文件时允许下载外部DTD并加载其中包含的任何实体引用，当 Apache Ivy 解析的XML文件由攻击者可控时，攻击者可利用 XXE 获取目标主机上 Apache Ivy 有权访问的任意文件。
参考链接：https://www.oscs1024.com/hd/MPS-2022-67125

APACHE Pony Mail 描述

XML 外部实体引用限制不当，Apache 软件基金会 Apache Ivy 中的 XML 注入（又名盲 XPath 注入）漏洞。此问题会影响 2.5.2 之前的任何 Apache Ivy 版本。

当 2.5.2 之前的 Apache Ivy 解析 XML 文件（它自己的配置、Ivy 文件或 Apache Maven POM ）时，它将允许下载外部文档类型定义，并在使用时扩展其中包含的任何实体引用。

这可用于泄露数据，访问只有运行 Ivy 的机器才能访问的资源，或者以不同的方式干扰 Ivy 的执行。

从 Ivy 2.5.2 开始，默认情况下禁用 DTD 处理，除非在解析 Maven POM 时，其中默认设置是允许 DTD 处理，但仅包含随 Ivy 一起提供的 DTD 代码段，这是处理现有 Maven POM 所必需的，这些 Maven POM 不是有效的 XML 文件，但仍被 Maven 接受。如果需要，可以通过新引入的系统属性使访问更加宽松。

2.5.2 版之前的 Ivy 用户可以使用 Java 系统属性来限制外部 DTD 的处理，请参阅 Oracle 的“Java API for XML Processing （JAXP）安全指南”中有关“外部访问限制的 JAXP 属性”部分。
参考链接：https://lists.apache.org/thread/1dj60hg5nr36kjr4p1100dwjrqookps8

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
org.apache.ivy:ivy [2.0.0-beta1, 2.5.2)	更新	升级org.apache.ivy:ivy到 2.5.2 或更高版本
	缓解措施	将 javax.xml.accessExternalDTD 设置成空字符串禁止外部实体引用的访问，具体请参考：https://docs.oracle.com/en/java/javase/13/docs/api/java.xml/javax/xml/XMLConstants.html#ACCESS_EXTERNAL_DTD
	补丁	官方已发布补丁：https://github.com/apache/ant-ivy/commit/2be17bc18b0e1d4123007d579e43ba1a4b6fab3d
参考链接：https://www.oscs1024.com/hd/MPS-2022-67125

APACHE Pony Mail 平台影响范围和处置方案

影响范围	处置方式	处置方法
Apache Ivy 1.0.0 through 2.5.1	更新	升级 Apache Ivy 到2.5.2
Apache Ivy 1.0.0 through 2.5.1	缓解措施	2.5.2 版之前的 Ivy 用户可以使用 Java 系统属性来限制外部 DTD 的处理，请参阅 Oracle 的“Java API for XML Processing （JAXP）安全指南”中有关“外部访问限制的 JAXP 属性”部分。
参考链接：https://lists.apache.org/thread/1dj60hg5nr36kjr4p1100dwjrqookps8,https://lists.apache.org/thread/9gcz4xrsn8c7o9gb377xfzvkb8jltffr