【漏洞分析】SA-CORE-2019-008 Drupal访问绕过漏洞（CVE-2019-6342）

阅读： 1,579

此次漏洞出现在设计过程的一个疏忽，在默认没有分配权限的情况下用户可以绕过权限检查进行发布/删除/修改文章操作，但由于该漏洞仅影响Drupal 8.7.4版本，并且需要开启Workspaces模块，这又是一个实验功能，默认不启用，因此漏洞影响减弱了不少，用户可以升级Drupal版本或者关闭Workspaces模块以消除漏洞影响。

综述

当地时间7月17日，Drupal官方发布安全通告修复了一个访问绕过漏洞（CVE-2019-6342）。在Drupal 8.7.4中，当启用实验性工作区模块（experimental Workspaces module）时，将为攻击者创造访问绕过的条件。Drupal官方将该漏洞定级为严重（Critical）。

官方通告链接：

https://www.drupal.org/sa-core-2019-008

绿盟科技预警级别：【蓝色】

级别定义请参考后文绿盟科技安全预警定级说明部分

受影响的版本

Drupal Version == 8.7.4

不受影响的版本

Drupal Version == 8.7.5
Drupal Version <= 8.7.3
Drupal Version <= 8.6.x
Drupal Version 7.x

漏洞复现

安装Drupal 8.7.4版本，登录管理员账户，进入后台/admin/modules，勾选Workspaces模块并安装

在页面上方出现如下页面则安装成功，管理员可以切换Stage模式或者Live模式

另外开启一个浏览器访问首页（未登录任何账户），访问http://127.0.0.1/drupal-8.7.4/node/add/article

可直接添加文章，无需作者或管理员权限。

受影响操作包括基本文章操作（添加、修改、删除、上传附件等）

技术分析

1. Workspaces的功能

Workspaces是Drupal 8.6核心新增的实验模块，主要功能是方便管理员一次性发布/修改多个内容。

Workspaces有两种模式，分别为Stage模式和Live模式，，默认为Live模式，两者的区别在于：

Stage模式下修改内容不会及时更新，所有文章修改完毕后管理员可以通过“Deploy to Live”发布到实际环境，相当于一个暂存区；

Live下更新是即时的，发布后站点内容立即更新。

在这两种模式下，由于编码失误导致存在一个缺陷：匿名用户无需登录即可创建/发布/修改/删除文章，问题点出现在权限鉴定模块EntityAccess下。

2. 漏洞分析

当用户发起请求时，会根据当前操作回调相关权限检查模块对当前用户权限进行检查，请求调用为事件监听器(EventListener)的RouterListener类，在其onKernelRequest()方法中调用AccessAwareRouter类的matchRequest()方法，随后调用AccessManager->checkRequest()方法，最后在AccessManager->performCheck()方法中通过call_user_func_array回调对应的操作进入到具体的操作权限检查

例如发布文章时回调的是access_check.node.add，相关方法在NodeAccessControlHandler控制器中定义，这个控制器继承自EntityAccessControlHandler,在父类的createAccess()方法中回调对应操作的create_access权限，过程中会拼接上模块名和相应钩子作为回调函数，

$function = $module . '_' . $hook

例如此处回调的是workspaces_entity_create_access()方法，

进入到Workspaces中。

在调用entityCreateAccess()方法时有一个关键操作bypassAccessResult

bypassAccessResult()方法是一个检查用户是否有“绕过节点访问权限(bypass node access)”的操作，是Workspaces中特有的，这个方法决定了“如果用户在各自的激活的工作区中，那么他将拥有所有权限”，这里的所有权限指文章相关的增删改操作。

这个权限虽然奇怪但确实是一个设计好的功能，正常操作应该在后台admin/people/permissions中配置好用户是否拥有这个权限，默认情况下匿名用户和认证用户都没有权限

当开启了“Bypass content entity access in own workspace”权限后用户才可以在未登录的情况下发布/删除文章，而此次漏洞就绕过了这个配置，默认情况下进行了越权操作。

具体分析一下bypassAccessResult()的实现，整个过程返回的是AccessResultAllowed对象或者AccessResultNeutral对象，所谓“中立”是因为后续还可能会对结果再做判断，但在这个漏洞中其实就是access和forbidden的区别：

首先获取了当前激活的工作区，然后通过allowedIf判断当前用户是否有权限，随后这些数据存入缓存，包括缓存内容、缓存标签和过期时间。然后再经过一次allowedIfHasPermission判断，这个方法的作用是，如果权限不对就设置一个reason，在这个漏洞中没有起到作用，到目前为止权限校验都是正常的，在没有配置后台工作区匿名权限的时候，返回的是一个AccessResultNeutral对象，也就是“禁止”。

接下来就是出现问题的地方

$owner_has_access->orIf($access_bypass);

通过补丁可以发现漏洞就修补了这行语句，把orIf换成了andIf

这两个方法的设计逻辑比较复杂，最主要的功能是对一个如果返回为“中立”的结果做后续判断，如果采用orIf方法合并，那么是否允许由调用者决定；如果以andIf方法合并，则被当做禁止。

具体到此次漏洞上的区别如下方图片所示：

orIf()

返回的是AccessResultAllowed对象

andIf()

返回的是AccessResultNeutral对象

在检查完毕后会回到AccessAwareRouter->checkAccess()方法，在该方法中对返回结果进行了判断，AccessResultNeutral的isAllowed()因此会抛出异常

返回到页面上则是Access denied

3. 总结

解决方案

Drupal官方已在8.7.5版本中修复了该漏洞，请受影响的用户尽快升级进行防护。

对于无法立即更新的情况，也可采用缓解措施，即禁用受影响站点上的工作区模块。

注意，还需要进行一些手动操作。对于启用了工作区模块的站点，需要运行update.php以确保清除所需的缓存。如果存在反向代理缓存或CDN，也建议进行清除。

Drupal 8.7.5下载链接：

https://www.drupal.org/project/drupal/releases/8.7.5

绿盟科技安全预警定级说明

级别	级别说明
红色	影响范围极大，危害极高，利用难度低
橙色	影响范围较广，危害严重，利用难度较低
黄色	影响范围可控，危害程度可控，利用难度较高
蓝色	影响较小，危害程度较小，利用条件苛刻

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市，股票简称：绿盟科技，股票代码：300369。

【漏洞分析】SA-CORE-2019-008 Drupal访问绕过漏洞（CVE-2019-6342）