fortify Unsafe JNI

Unsafe JNI 

主要解决问题：

1.system.currentTimeMillis();

使用SystemClock.now()替换。

2.isAssignableFrom();

使用新定义的isAssignableFromForCC()方法替换

   /**
     * Checks if one {@code Class} can be assigned to a variable of
     * another {@code Class}.</p>
     * @param cls: the Class to check, may be null
     * @param tocls: the Class to try to assign into, returns false if null
     * @return
     */
   public static boolean isAssignableFromForCC( Class<?> cls,  Class<?> tocls) {
        return ClassUtils.isAssignable(cls, tocls);// use org.apache.commons.lang3.ClassUtils;
   }

3.obj.hashCode()

使用新定义的hashCodeForCC()方法替换

public static int hashCodeForCC(Object obj) {
   return ObjectUtils.hashCode(obj);//org.apache.commons.lang3.ObjectUtils;
}

4.getModifiers()

使用新定义的getModifiersForCC()方法替换

public static int getModifiersForCC(Class clazz) {
   return ReflectUtils.getClassInfo(clazz).getModifiers();//org.springframework.cglib.core.ReflectUtils;
}

5.Thread.sleep(1000L);

TimeUnit.SECONDS.sleep(1);

6.Thread.currentThread().getContextClassLoader();

ClassUtils.class.getClassLoader();

 

Abstract

Java Native Interface（JNI）应用不当会导致 Java 应用程序容易受到其他语言的安全漏洞攻击。

Explanation

当 Java 应用程序使用 JNI 调用以其他编程语言编写的代码时，会发生 Unsafe JNI 漏洞。 例如：以下 Java

代码定义了一个名为 Echo 的类。 这个类声明了一个本地方法（下文定义），使用 C 语言将控制台上输入的

命令回显给用户。

class Echo {
　　public native void runEcho();
 
　　static {
　　　　System.loadLibrary("echo");
　　}
 
　　public static void main(String[] args) {
　　　　new Echo().runEcho();
　　}
}

 

以下 C 语言代码定义了在 Echo 类中实现的本地方法：

#include <jni.h>
#include "Echo.h" //the java class above compiled with javah
#include <stdio.h>
JNIEXPORT void JNICALL
Java_Echo_runEcho(JNIEnv *env, jobject obj)
{
　　char buf[64];
　　gets(buf);
　　printf(buf);
}

 

因为这个例子是在 Java 中实现的，所以看上去似乎可以避免诸如 buffer overflow 之类的内存问题。 虽然

Java 在内存安全方面做的很好，但是该保护机制并不适用于其他语言编写的且通过 Java 本地接口 (Java

Native Interface,JNI) 访问的源代码中出现的漏洞。 尽管有 Java 提供的内存保护机制，但是这个例子中的 C

语言代码仍然很容易受到 buffer overflow 的攻击，因为它在没有执行任何输入检查的情况下就使用了

gets()。 Sun Java(TM) 教程对 JNI 描述如下 [1]： 一旦有了 JNI 框架，您的本地方法就可以像 Java 代码那

样利用 Java 对象。 本地方法可以创建 Java 对象（包括数组和字符串），并且检查和应用这些对象，以便执

行各种相关的任务。 本地方法也可以检查和应用由 Java 应用程序代码创建的对象。 本地方法甚至可以更新

由自己创建的或传递给它的 Java 对象，且更新后的对象可以应用到 Java 应用程序中。 因此，在应用程序

中，无论是本地语言还是 Java 语言都能创建、更新和访问 Java 对象，并在两种语言间共享这些对象。 通过

检查本地方法实现的源代码，可以轻松地发现上述例子中存在的漏洞。 根据不同的 C 语言源代码和项目构建

方式，这种方式可能在某些情况下不可行，但是多数情况下还是可行的。 然而，这种能够在 Java 方法和本

地方法间共享对象的能力会进一步加大潜在的风险。在 Java 中数据处理不当时，可能会导致本地代码出现意

想不到的漏洞，同样本地代码中的不安全操作会破坏 Java 的数据结构。 通过 Java 应用程序访问的本地代码

中出现的漏洞，通常与由本地语言编写的应用程序中存在的漏洞是一样的。 这种攻击面临的唯一挑战是：攻

击者需要确定 Java 应用程序是否使用了本地代码执行某些特定的操作。 可以用多种方法实现上述目的，包

括识别那些通常用本地代码实现的某些特定行为，或者利用 Java 应用程序中 system information leak 的漏洞

（表明系统使用了 JNI） [2]。

Recommendation

审计所有构成某个特定应用程序的源代码，包括在其他语言中执行的本地方法。 审计期间，要确保能够正确

地解释和处理 Java 和本地代码在边界检查和其他行为之间的差别。 特别是确保在以下所有阶段都正确处理

了共享对象： 对象被传递到本地代码前、对象被本地代码应用期间以及对象被返回给 Java 应用程序后。