r - 在 R 中反序列化不受信任的原始向量是否安全？

Question

R 提供 serialize和 unserialize函数将任意 R 对象转换为字节向量并返回。

我正在考虑对将通过网络传输的部分信息进行反序列化，这些信息(理论上)可能会被恶意用户篡改。

据我所知，恶意用户可以注入(inject)一个任意的 R 对象，该对象可能充满有害代码。但这不是我所担心的，因为我可以(我认为我可以)通过仔细处理接收到的对象来阻止此类代码的执行。

我担心缓冲区溢出或类似的方式在 R 服务器上执行任意机器代码，仅仅因为反序列化格式错误的字节。有没有人看过/对其进行过模糊测试？

我不是安全专家，也没有简单的方法可以自己进行分析。但也许其他人做到了？

Answer 1

据我所知，还没有对 R 代码库进行广泛的安全代码审查。对于那些认为亚当的担忧没有必要的人来说，这是Python vulnerabilities 的列表。 ，其中一些(即使是常规的 Python 与 CPython)确实是缓冲区溢出。 R's list很少，我不认为它很少，因为基本 R 代码是完美的。 (顺便说一句，S-PLUS 甚至还有 a singular vulnerability report。)我指出 Python，因为它是一个广泛使用的、由 C 支持的解释环境(听起来很熟悉？)。

快速search on R Core's Bugzilla for `"overflow'"显示了一些问题，所有这些问题似乎都与漏洞/利用无关。

我怀疑缺乏 R 的 CVE 或内部漏洞报告主要是因为没有安全研究人员有空闲的周期来专门研究它，也没有组织在商业上要求一个(至少是为了将问题公开而不是仅仅修复它)在 R 代码库的私有(private)副本中，这是肯定的可能性)。

我将假设，根据我的经验基础，R 更有可能在您所描述的情况下被应用程序 DoS 攻击，而不仅仅是屈服于成功的代码执行或进程权限提升攻击。 Base R 有它自己的 memory management layer/interface在核心 C 例程之上，R 核心团队在使用 valgrind 方面几乎是虔诚的。 .现在，valgrind不会捕获所有内容(如果这样做了，任何软件中都不会出现缓冲区溢出)，但是在这里使用它与上述内存管理相结合，在这方面给了我一些安慰。

然而，对类似 strlen 的内容进行了非常粗略的搜索。在基本 R C 代码中产生超过 1,000 个结果(它在基本 R 代码中也有非 n 表亲，这些非 n 版本的基本字符串函数是许多缓冲区溢出漏洞的来源)。那么，有可能吗，是的。你的可能性和严重程度是多少？稍后会详细介绍。

Base R 确实包含并依赖于其他开源库，而这些库确实存在可利用的漏洞。 R 核心(以及 AT&T、Microsoft、TIBCO 等供应商)二进制文件(根据我的经验)在其二进制版本中使用上述开源库的最新版本(静态链接时)(这种情况不常见，但确实发生了很多)一年中的次数)。如果情况许可，R 核心还将在 R-devel 促销窗口之外发布新的二进制文件(供应商通常会迅速跟进)。请注意，如果您决定使用系统上可用的内容自行编译 R，则完全靠您自己。

有许多 C/C++ 支持的 R 包，其中包含开源库的副本。我的“空闲时间”项目之一(我从来没有空闲时间)是跟踪它们并查看这些包含的库有多过时。 httuv是一个示例，其中包含该包中的源库存在漏洞，但它们不太可能暴露给 R，因为代码易受攻击部分中的功能不是它通过包 API 直接公开的。不过，您确实需要关注这些软件包。

即使不依赖于合并的库源代码，C/C++ 支持的 R 包也是潜在内存问题的明确来源，因为它们没有安全编码要求，而且它们确实操纵内存。 R Core 团队强烈推荐使用 valgrind测试包(它是 R CMD check 中的一个选项，即++gd)，但这也依赖于作者编写健壮的示例和测试，这些示例和测试将显式地执行足以测试的代码。根据我的经验，大多数软件包作者(包括我在内)很少这样做。

如果您使用的是 Windows，则还有另一个与软件包相关的漏洞的潜在来源，但我认为您不是使用 Windows，而且这个答案已经很长了。

因此，回到您的风险评估(因为这确实是您正在做的事情)。你需要考虑一些事情。攻击者现在是否针对 R。我在业内最好的公司之一从事网络安全工作，在威胁行为者领域中没有看到任何让我相信 R 的普遍目标的东西。贵公司是否可以成为特定目标？是的。我不知道你的公司是做什么的，但我怀疑你的重要性不足以成为制造你所提出的攻击所需的攻击者级别的目标。你真的需要使用类似 OpenFAIR 的东西对场景进行建模，以真正解决适合您的风险级别。

如果你像你说的那样在服务器上运行，并且所说的服务器是基于 linux/bsd 的，那么你可以在 R 之外做很多事情来帮助限制缓冲区溢出攻击的影响。这些太长了，无法进入这里。但是，如果您像您的问题所表明的那样关注整件事，那么这些补偿性控制将是很好的研究对象。

TLDR 听起来好像您在 unix-ish 系统上，并且正在网络的非隔离网段中通过线路传输序列化的 R 对象。在不了解您公司的更多信息的情况下，我会说，一般来说，除非您所在的行业有民族国家行为者针对您，否则您应该对自己正在做的事情感到非常安全。我还认为，上述威胁行为者有成千上万种其他方式来追捕他们真正想要的东西，而无需专注于利用您的特定流程。

不过，我感到有些欣慰，因为微软收购了 Revolution Analytics 并使 R 成为一等公民。 Microsoft 拥有一套广泛且行业领先的安全编码标准和实践，我相信它会应用于 R 团队(他们非常迅速地进行了集成和品牌推广，我怀疑安全代码流程是否已被完全应用，但他们依赖 R 进行云分析，并知道他们将为广泛曝光付出的代价)。无论 Microsoft 最终修复了什么，最终都会回到基础 R 中(前提是他们发现的漏洞不在 Microsoft R 的专有优化部分中)。

这很长，我可能没有完全解决您的问题，所以请在评论中要求澄清，我可以在考虑“完成”这个答案之前尽力解决这些问题。不过，非常感谢您关注这一点。你对你自己和你的公司都有好处。