CVE-2021-1879

一、漏洞原理

         CVE-2021-1879 是 IBM WebSphere Application Server 中存在的一个 路径遍历（Path Traversal） 漏洞，其核心原理为：

       ①WebSphere 在处理某些文件操作请求（如下载、上传或配置文件读取）时，未对用户输入的文件路径进行充分过滤或规范化处理。

       ②攻击者可通过构造包含特殊字符（如 ../、..\）的路径，绕过应用对文件目录的限制，访问服务器操作系统中任意目录的文件（包括系统文件、应用配置文件等敏感数据）。

       ③漏洞源于文件路径解析逻辑的缺陷，未正确校验用户输入是否符合预期的目录范围。

二、利用方式

1. 攻击场景：
   • 攻击者通过Web界面（如HTTP请求）发送包含路径遍历字符的请求，诱导WebSphere处理恶意路径。
   • 例如，访问以下URL可尝试读取系统文件：

     http://websphere-host/app/download?file=../../../../etc/passwd

     若应用未过滤 ../，则可能返回Linux系统的 /etc/passwd 文件内容。
2. 利用链：
   • 攻击者首先探测WebSphere的文件服务接口（如文件下载功能），识别可接受用户输入路径的参数。
   • 构造包含路径遍历字符的请求，尝试访问敏感文件（如应用配置文件 server.xml、数据库凭证文件或系统文件）。
   • 若成功，可进一步利用获取的信息（如数据库密码、内部IP）发起后续攻击（如数据库注入、内网渗透）。
3. 影响范围：主要影响未修复的IBM WebSphere Application Server 9.0.x、8.5.x等版本，具体范围需参考IBM官方安全公告。

三、防御措施

1. 系统更新：
   • IBM已通过安全补丁修复该漏洞（如WebSphere 9.0.5.13、8.5.5.22及以上版本），用户需立即升级至受支持的版本。
   • 定期检查IBM官方安全公告（如IBM Security Bulletins），确保应用最新补丁。
2. 输入验证与过滤：
   • 白名单机制：仅允许用户输入预定义的合法字符（如字母、数字、下划线），禁止包含 ../、\、%00（空字节）等路径遍历字符。
   • 路径规范化：将用户输入的路径转换为绝对路径，并检查是否在应用预期的目录内（如 WEB-INF/files）。
   • 示例代码：

     String userInput = request.getParameter("file");
     File file = new File(baseDir, userInput);
     if (!file.getCanonicalPath().startsWith(baseDir.getCanonicalPath())) {throw new SecurityException("非法路径");
     }

3. 文件系统权限控制：
   • 限制WebSphere应用运行账户的权限，确保其仅能访问必要的目录（如应用工作目录）。
   • 禁止应用账户对系统关键目录（如 /etc、/bin）的读取或写入权限。
4. 网络层防护：
   • 部署Web应用防火墙（WAF），配置规则拦截包含路径遍历特征的请求（如连续多个 ../、\ 字符）。
   • 启用WebSphere内置的安全功能（如“输入验证过滤”），参考IBM文档配置安全策略。
5. 监控与审计：
   • 开启WebSphere的访问日志，定期分析异常文件访问请求（如高频次、非常规路径的请求）。
   • 部署入侵检测系统（IDS），检测针对文件服务接口的探测行为（如多次尝试访问 ../../../../ 开头的路径）。

总结

       CVE-2021-1879 是典型的路径遍历漏洞，攻击者可利用其读取服务器敏感文件，进一步渗透内网。防御核心是 输入验证、路径规范化、最小权限原则 及 及时更新补丁。企业需结合代码层过滤、系统权限控制及网络层防护，构建多层次防御体系。

 结语 

莫愁千里路

自有到来风

！！！