界: Code Quality
コードの質が低いと、予測できない動作につながります。ユーザーの視点には、それがしばしば使い勝手の悪さとなって現れます。攻撃者にとっては、予期せぬ方法でシステムにストレスを与える機会となります。
Code Correctness: readObject() Invokes Overridable Function
Abstract
クラス内の
readObject()
メソッドは、オーバーライドされる可能性のある関数を呼び出します。Explanation
デシリアライゼーションの間、
例 1: 次の
関数
readObject()
は、コンストラクターのように振る舞うため、オブジェクトの初期化は関数が終わるまで完了しません。そのため、Serializable
の readObject()
関数がオーバーライド関数をコールすると、完全に初期化される前にオブジェクトの状態にオーバーライド メソッドがアクセスできるようになります。例 1: 次の
readObject()
関数は、オーバーライドされる可能性のあるメソッドをコールしています。
...
private void readObject(final ObjectInputStream ois) throws IOException, ClassNotFoundException {
checkStream(ois);
ois.defaultReadObject();
}
public void checkStream(ObjectInputStream stream){
...
}
関数
checkStream()
と括弧で囲まれたクラスは final
ではなくパブリックであるため、関数がオーバーライドできるようになります。つまり、攻撃者は checkStream()
関数をオーバーライドし、デシリアライゼーションの間、オブジェクトにアクセスできるようになります。References
[1] SER09-J. Do not invoke overridable methods from the readObject() method CERT
[2] EXTEND-5: Limit the extensibility of classes and methods Oracle
[3] SERIAL-3: View deserialization the same as object construction Oracle
[4] Standards Mapping - CIS Azure Kubernetes Service Benchmark 1
[5] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 4.1
[6] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 1
[7] Standards Mapping - CIS Google Kubernetes Engine Benchmark normal
desc.structural.java.code_correctness_readobject_invokes_overridable_function