高危漏洞分析|CVE-2022-42920ApacheCommonsBCEL越界写漏洞
2023-05-03 来源:飞速影视
项目介绍
Apache Commons BCEL 为用户提供一种方便的方法来分析、创建和操作(二进制)Java类文件(以.class结尾的文件)。 类由包含给定类的所有符号信息的对象表示:特别是方法、字段和字节码指令。
这样的对象可以从现有文件中读取,由程序(例如运行时的类加载器)转换,并再次写入文件。 一个更有趣的应用程序是在运行时从头开始创建类。
BCEL包含一个名为JustIce的字节码验证器,它通常比标准的JVM消息提供更好的代码错误信息。
项目地址
https://github.com/apache/commons-bcel
https://commons.apache.org/proper/commons-bcel/
漏洞概述
Apache Commons BCEL有许多API,通常只允许更改特定的类特征。 但是,由于存在越界写入问题,这些API可用于生成任意字节码。 在将攻击者可控制的数据传递给这些API的应用程序中,这可能会被滥用,从而使攻击者对生成的字节码拥有比预期更多的控制权。
影响版本
影响 Apache BCEL <6.6.0
环境搭建
Commons BCEL 6.5.0 https://github.com/apache/commons-bcel/releases/tag/rel/commons-bcel-6.5.0
漏洞分析
常量池介绍:
1. JVM常量池主要分为Class文件常量池、运行时常量池、全局字符串常量池和基本类型包装类对象常量池,可以理解为 class 文件之中的资源仓库,它是占用 class 文件空间最大的数据项之一。
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号