ELインジェクション対策としてJEXL 3.4へアップデート

[mygreen]

修正内容

Commons JEXL を2.1 ⇒ 3.4へアップデート。

• EL Injection として、任意のプログラムが実行可能なため、対策として、JEXL 3.3から導入された JexlPermissions によるEL式中で実行／参照可能なクラスなどを制限するようにした。
  • XlsMapperは、パッケージ com.gh.mygreen.xlsmapper.* 以下全てを許可する指定。
  • 独自のCellConverter / FiledProcessosrを使うときは、システムプロパティ xlsmapper.jexlPermissions でカンマ区切りで指定する。
  • システムプロパティ xlsmapper.jexlRestricted=false でパーミッションによる制限をOFFに切り替え可能。
• EL式中の独自のカスタム関数の登録処理を ExpressionLanguageJEXLImpl.java に集約。
• 式言語の接頭語を x: ⇒ f: に変更し、エラーメッセージの f: に統一。
  • 数式を指定するアノテーション @XlsFormula の属性 value 内で使用可能な予め登録されている関数の接頭語に影響がある。
• 不要となった式言語のパース結果のキャッシュ用オブジェクト ObjectCache を削除。
  • JexlEngineのキャッシュ機能を使用するように変更したため不要となった。
• MessageInterpolatorにおいて、EL式／変数のときに再帰評価を削除し、EL Injectionの起点となっていたのを除去。
  • メッセージプロパティの場合も再帰評価回数の最大回数を指定し、無限ループを回避。
• CsvBeanValidation による BeanValidation のエラーメッセージの処理方法を変更。
  • アノテーションの属性 message でデフォルトのエラーメッセージ指定して、デフォルト値から変更されていた場合、評価前のテンプレートの状態で渡すように変更し、CsvContextの情報を評価可能にすにする。

特記事項

• JEXL v3.4が最新版だが、POI v5.1の依存関係のcommons-loggingのバージョン関係が悪く実行時エラーが出るため、JEXL v3.4の依存関係からcommons-loggingを除外。
  • POI v5.2であれば問題なかった。