7장. 확인된 문제

Google Guava 버전 11.0~24.1은 Atomic CryostatArray 클래스(Java serialization로 직렬화된 경우) 및 CompoundOrdering 클래스(GWT 직렬화로 직렬화된 경우)의 바인딩되지 않은 메모리 할당에 취약합니다. 공격자는 Guava를 사용하고 신뢰할 수 없는 데이터를 역직렬화하여 서비스 거부를 유발하는 애플리케이션을 악용할 수 있습니다. 자세한 내용은 CVE-2018-10237 을 참조하십시오.

이 보안 취약점을 방지하려면 다음을 권장합니다.

Guava의 이전 버전(vulnerable) 버전을 방지하기 위해 Fuse 7.7은 기본적으로 Guava 27을 선택할 수 있도록 모든 컨테이너에 대한 BM(MM) 파일을 구성했습니다. 즉, Fuse BOM을 Maven 프로젝트에 통합하는 경우(POM 파일의 종속성 Management 섹션에 BOM에 대한 종속성 을 추가) 명시적 버전을 지정하지 않고 Guava 아티팩트에 대한 종속성을 지정하면 Guava 버전이 BOM에 지정된 버전으로 기본 설정됩니다. 이 버전은 Fuse 7.7 BOM의 버전 27입니다.

그러나 하나 이상의 일반적인 사용 사례는 Apache Karaf (OSGi) 컨테이너를 포함하는데, 여기서 Guava ( Guava)의 취약한 버전을 사용하지 않는 것은 불가능합니다: OSGi 애플리케이션이 Guava와 Swagger를 함께 사용하는 경우, Swagger에 필요한 버전이기 때문에 Guava 20을 사용해야 합니다. 여기서 우리는 왜 이것이고 이전 (vulnerable) Guava 20 라이브러리를 되돌리도록 POM 파일을 구성하는 방법을 설명합니다. 먼저 이중 OSGi 체인 의 개념을 이해해야합니다.

이중 OSGi 체인

OSGi 런타임의 번들은 패키지 제약 조건(패키지 이름 + 선택적 버전/범위) Cryostat- Cryostatimports 및 export를 사용하여 함께 연결됩니다. 각 번들에는 여러 개의 가져오기가 있을 수 있으며 일반적으로 해당 번들에는 여러 번 번들이 지정된 번들이 있습니다. 예를 들면 다음과 같습니다.

BundleA
+-- BundleB
|   +-- BundleCa
+-- BundleCb

BundleA
+-- BundleB
|   +-- BundleCa
+-- BundleCb

BundleA 는 BundleB 및 BundleCb 에 따라 다르며 BundleB 는 BundleCa 에 따라 다릅니다. BundleCa 및 BundleCb 는 동일한 패키지를 내보내는 경우 번들과 동일하지만 버전(범위) 제약으로 인해 BundleB 는 BundleA 와 다른 BundleC 버전을 사용합니다.

애플리케이션에 Guava 및 Swagger에 대한 종속성을 포함할 때 발생하는 상황을 반영하기 위해 이전 다이어그램을 다시 작성합니다.

org.jboss.qe.cxf.rs.swagger-deployment
+-- Guava 27
+-- Swagger 1.5
    +-- reflections 0.9.11
        +-- Guava 20

org.jboss.qe.cxf.rs.swagger-deployment
+-- Guava 27
+-- Swagger 1.5
    +-- reflections 0.9.11
        +-- Guava 20

이 번들 구성을 배포하려고 하면 org.osgi.framework.BundleException: 제약 조건 위반을 사용합니다.

Guava 20으로 되돌리기

프로젝트에서 Guava 및 Swagger 라이브러리(직접 또는 간접적으로)를 모두 사용하는 경우 다음과 같이 Guava 번들 가져오기에 대해 명시적 버전 범위(또는 전혀 범위 없음)를 사용하도록 maven-bundle-plugin 을 구성해야 합니다.

<Import-Package>
    com.google.common.base;version="[20.0,21.0)",
    com.google.common.collect;version="[20.0,21.0)",
    com.google.common.io;version="[20.0,21.0)"
</Import-Package>

<Import-Package>
    com.google.common.base;version="[20.0,21.0)",
    com.google.common.collect;version="[20.0,21.0)",
    com.google.common.io;version="[20.0,21.0)"
</Import-Package>

이 구성을 사용하면 OSGi 애플리케이션이 Guava 20 라이브러리로 되돌아갑니다. 따라서 이 경우 Atomic CryostatArray 인스턴스를 역직렬화하는 것을 방지하는 것이 특히 중요합니다.

Apache Performr는 Apache Lucene 검색 엔진을 사용하는 널리 사용되는 오픈 소스 검색 플랫폼입니다. 애플리케이션이 Apache Lucene과 함께 Apachesriovr를 사용하는 경우(예: Camel achievedr 구성 요소를 사용하는 경우) 이 보안 취약점의 영향을 받을 수 있습니다. 이 취약점에 대한 자세한 내용과 수행할 완화 단계를 보려면 연결된 보안 권고를 참조하십시오.