12月14日,Mattermost与Golang团队发布了3个Go 语言XML 解析器安全漏洞。漏洞影响多个基于Go 的SAML 实现,可能引发完整的SAML 认证绕过。
XML 解析器不能保证完整性
下面列出的Golang XML 语言解析器漏洞导致在编码和解码XML 输入时并不会返回可靠的结果,也就是说XML markup(标记)在使用解析器进行编码器时会返回不连续的、意外的结果:
- CVE-2020-29509: Go的encoding/xml中XML 属性不稳定
- CVE-2020-29510: Go的encoding/xml中XML 指令不稳定
- CVE-2020-29511: Go的encoding/xml中XML 元素不稳定
这些漏洞是紧密相关的,其中核心的共性问题是:恶意伪造的XML markup可以通过GO的编解码实现在多轮通信中会发生变异(变化)。
Mattermost 产品安全工程师Nurminen 解释说,如果应用使用XML 解析器,那么编码器和解码器就不会保留原始markup的语义。
应用在处理XML 和解析不是之前解析和序列化的输出的markup时,就不能保证解析的输出和上一轮的输出是匹配的。换句话说,通过Go 的编码器和解码器传递XML 并不能保留其语义。
其中一个补丁也证明了由于这些漏洞,在XML 解析期间确实会发生不连续的情况。比如,`
SAML 认证绕过
这看起来是个简单的漏洞,虽然许多应用都希望能实现语义的完整性,但这些漏洞可能会引发严重的后果。
比如,攻击者可以触发利用上述XML 解析器的SAML 实现来绕过SAML 认证。Security Assertion Markup Language (SAML)是一种web认证标准,被许多主流网站和服务使用。由于这些漏洞,基于Go 的SAML实现可以被攻击者利用,通过注入恶意markup到正确签名的SAML消息中,这样看起来是经过正确签名的,但是其语义与原始文档就完全不同了。
对于SAML SSO系统来说,攻击者利用有漏洞的XML 解析器可能会引发权限提升或认证绕过。
目前没有补丁
目前,Go 安全团队已经发布安全公告,但是目前还没有补丁来快速修复这些安全漏洞。因为round-trip (多轮)稳定性并部署encoding/xml支持的安全特性,因此单单补丁本身也无法确保XML 解析的可靠性。
但是目前已经有多个基于Go 的SAML 项目发布了修复版本,比如:
- Dex IDP version 2.27.0
- github.com/crewjam/saml version 0.4.3
- github.com/russellhaering/gosaml2 version 0.6.0
更多技术细节参见:https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities/
本文翻译自:
https://www.bleepingcomputer.com/news/security/critical-golang-xml-parser-bugs-can-cause-saml-authentication-bypass/