bpo-17239: XML entity expansion limitation

tiran · tiran · commit 504e0920f46a · 2018-09-23T13:53:48.000+02:00
Modelled after https://github.com/GNOME/libxml2/blob/v2.9.8/parser.c#L99 Signed-off-by: Christian Heimes <christian@python.org>
diff --git a/Include/pyexpat.h b/Include/pyexpat.h
@@ -3,9 +3,17 @@
 
 /* note: you must import expat.h before importing this module! */
 
-#define PyExpat_CAPI_MAGIC  "pyexpat.expat_CAPI 1.1"
+#include "expat.h"
+
+#define PyExpat_COMBINED_VERSION (10000*XML_MAJOR_VERSION+100*XML_MINOR_VERSION+XML_MICRO_VERSION)
+
+#define PyExpat_CAPI_MAGIC  "pyexpat.expat_CAPI 1.2"
 #define PyExpat_CAPSULE_NAME "pyexpat.expat_CAPI"
 
+#if PyExpat_COMBINED_VERSION < 20300
+enum XML_Option {};
+#endif
+
 struct PyExpat_CAPI
 {
     char* magic; /* set to PyExpat_CAPI_MAGIC */
@@ -50,6 +58,9 @@ struct PyExpat_CAPI
         void *encodingHandlerData, const XML_Char *name, XML_Encoding *info);
     /* might be none for expat < 2.1.0 */
     int (*SetHashSalt)(XML_Parser parser, unsigned long hash_salt);
+    /* expat >= 2.3.0 */
+    enum XML_Status (*SetOption)(XML_Parser parser, enum XML_Option option, void *value);
+    enum XML_Status (*GetOption)(XML_Parser parser, enum XML_Option option, void *rvalue);
     /* always add new stuff to the end! */
 };
 
diff --git a/Lib/test/test_sax.py b/Lib/test/test_sax.py
@@ -14,6 +14,8 @@
                              XMLFilterBase, prepare_input_source
 from xml.sax.expatreader import create_parser
 from xml.sax.handler import feature_namespaces, feature_external_ges
+from xml.sax.handler import feature_huge_xml
+from xml.sax.handler import ErrorHandler
 from xml.sax.xmlreader import InputSource, AttributesImpl, AttributesNSImpl
 from io import BytesIO, StringIO
 import codecs
@@ -32,6 +34,10 @@
 except UnicodeEncodeError:
     raise unittest.SkipTest("filename is not encodable to utf8")
 
+TEST_ENTITYTOOLARGE = findfile("entitytoolarge.xml", subdir="xmltestdata")
+TEST_EXPANSIONLIMIT = findfile("expansionlimit.xml", subdir="xmltestdata")
+TEST_RECURSIONLIMIT = findfile("nestinglimit.xml", subdir="xmltestdata")
+
 supports_nonascii_filenames = True
 if not os.path.supports_unicode_filenames:
     try:
@@ -1311,6 +1317,65 @@ def test_nsattrs_wattr(self):
         self.assertEqual(attrs.getQNameByName((ns_uri, "attr")), "ns:attr")
 
 
+class NullSink(StringIO):
+    def write(self, *args):
+        """/dev/null write"""
+        pass
+
+
+class XmlEntityExpansion(unittest.TestCase):
+
+    def get_parser(self, huge_xml=None):
+        result = NullSink()
+        handler = XMLGenerator(result, 'utf-8')
+        parser = create_parser()
+        parser.setContentHandler(handler)
+        parser.setErrorHandler(ErrorHandler())
+        if huge_xml is not None:
+            parser.setFeature(feature_huge_xml, huge_xml)
+        return parser
+
+    def check_parse(self, source, huge_xml=None):
+        parser = self.get_parser(huge_xml)
+        parser.parse(source)
+
+    def test_entitytoolarge(self):
+        header = "<!DOCTYPE he [<!ELEMENT he (#PCDATA)*><!ENTITY e '"
+        entity = "0123456789" * 100
+        footer = "'>]><he>&e;</he>"
+
+        parser = self.get_parser()
+        parser.feed(header)
+        # feed 1MB + 1 byte as entity text
+        for i in range(1000):
+            parser.feed(entity)
+        parser.feed('-')
+
+        with self.assertRaisesRegex(SAXParseException,
+                                    "entity text is too large"):
+            parser.feed(footer, True)
+
+        parser = self.get_parser(True)
+        parser.feed(header)
+        # feed 1MB + 1 byte as entity text
+        for i in range(1000):
+            parser.feed(entity)
+        parser.feed('-')
+        parser.feed(footer, True)
+
+    def test_expansionlimit(self):
+        with self.assertRaisesRegex(SAXParseException,
+                                    "entity expansion limit reached"):
+            self.check_parse(TEST_EXPANSIONLIMIT)
+        self.check_parse(TEST_EXPANSIONLIMIT, True)
+
+    def test_recursionlimit(self):
+        with self.assertRaisesRegex(SAXParseException,
+                                    "entity nesting limit reached"):
+            self.check_parse(TEST_RECURSIONLIMIT)
+        self.check_parse(TEST_EXPANSIONLIMIT, True)
+
+
 def test_main():
     run_unittest(MakeParserTest,
                  ParseTest,
@@ -1323,7 +1388,8 @@ def test_main():
                  StreamReaderWriterXmlgenTest,
                  ExpatReaderTest,
                  ErrorReportingTest,
-                 XmlReaderTest)
+                 XmlReaderTest,
+                 XmlEntityExpansion)
 
 if __name__ == "__main__":
     test_main()
diff --git a/Lib/test/xmltestdata/expansionlimit.xml b/Lib/test/xmltestdata/expansionlimit.xml
@@ -0,0 +1,58 @@
+<!DOCTYPE he [
+<!ELEMENT he (#PCDATA)*>
+<!ENTITY a "&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;">
+<!ENTITY b "ABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOPABCDEFGHIJKLMNOP">]>
+<he>
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;
+</he>
diff --git a/Lib/test/xmltestdata/nestinglimit.xml b/Lib/test/xmltestdata/nestinglimit.xml
@@ -0,0 +1,7 @@
+<!DOCTYPE he [
+  <!ELEMENT he (#PCDATA)*>
+  <!ENTITY e1 '&e2;&e2;&e2;&e2;&e2;&e2;&e2;&e2;&e2;&e2;&e2;'>
+  <!ENTITY e2 '&e3;&e3;&e3;&e3;&e3;'>
+  <!ENTITY e3 'entity'>
+]>
+<he>&e1;</he>
diff --git a/Lib/xml/dom/expatbuilder.py b/Lib/xml/dom/expatbuilder.py
@@ -160,6 +160,8 @@ def getParser(self):
             self._parser.buffer_text = True
             self._parser.ordered_attributes = True
             self._parser.specified_attributes = True
+            if self._options.huge_xml is not None:
+                self._parser.huge_entites = self._options.huge_xml
             self.install(self._parser)
         return self._parser
 
diff --git a/Lib/xml/dom/xmlbuilder.py b/Lib/xml/dom/xmlbuilder.py
@@ -41,6 +41,9 @@ class Options:
     errorHandler = None
     filter = None
 
+    # None: keep default, True: disable entity expansion protection
+    huge_xml = None
+
 
 class DOMBuilder:
     entityResolver = None
diff --git a/Lib/xml/etree/ElementTree.py b/Lib/xml/etree/ElementTree.py
@@ -1626,6 +1626,14 @@ def close(self):
             del self.parser, self._parser
             del self.target, self._target
 
+    @property
+    def huge_xml(self):
+        return self._parser.huge_xml
+
+    @huge_xml.setter
+    def huge_xml(self, value):
+        self._parser.huge_xml = value
+
 
 # Import the C accelerators
 try:
diff --git a/Lib/xml/sax/expatreader.py b/Lib/xml/sax/expatreader.py
@@ -9,7 +9,8 @@
 from xml.sax.handler import feature_validation, feature_namespaces
 from xml.sax.handler import feature_namespace_prefixes
 from xml.sax.handler import feature_external_ges, feature_external_pes
-from xml.sax.handler import feature_string_interning
+from xml.sax.handler import feature_string_interning, feature_huge_xml
+
 from xml.sax.handler import property_xml_string, property_interning_dict
 
 # xml.parsers.expat does not raise ImportError in Jython
@@ -97,6 +98,7 @@ def __init__(self, namespaceHandling=0, bufsize=2**16-20):
         self._entity_stack = []
         self._external_ges = 0
         self._interning = None
+        self._huge_xml = None
 
     # XMLReader methods
 
@@ -137,6 +139,8 @@ def getFeature(self, name):
             return 0
         elif name == feature_external_ges:
             return self._external_ges
+        elif name == feature_huge_xml:
+            return self._parser.huge_xml
         raise SAXNotRecognizedException("Feature '%s' not recognized" % name)
 
     def setFeature(self, name, state):
@@ -153,6 +157,8 @@ def setFeature(self, name, state):
                     self._interning = {}
             else:
                 self._interning = None
+        elif name == feature_huge_xml:
+            self._huge_xml = bool(state)
         elif name == feature_validation:
             if state:
                 raise SAXNotSupportedException(
@@ -285,7 +291,8 @@ def reset(self):
                                               intern = self._interning)
             self._parser.StartElementHandler = self.start_element
             self._parser.EndElementHandler = self.end_element
-
+        if self._huge_xml is not None:
+            self._parser.huge_xml = self._huge_xml
         self._reset_cont_handler()
         self._parser.UnparsedEntityDeclHandler = self.unparsed_entity_decl
         self._parser.NotationDeclHandler = self.notation_decl
diff --git a/Lib/xml/sax/handler.py b/Lib/xml/sax/handler.py
@@ -277,12 +277,19 @@ def resolveEntity(self, publicId, systemId):
 #        DTD subset.
 # access: (parsing) read-only; (not parsing) read/write
 
+feature_huge_xml = "http://python.org/sax/features/huge-xml"
+# true: Allow XML files with huge entities and DTD
+# false: Protect against DoS attacks like entity expansion (billion laughs)
+# access: (parsing) read-only; (not parsing) read/write
+
+
 all_features = [feature_namespaces,
                 feature_namespace_prefixes,
                 feature_string_interning,
                 feature_validation,
                 feature_external_ges,
-                feature_external_pes]
+                feature_external_pes,
+                feature_huge_xml]
 
 
 #============================================================================
diff --git a/Modules/_elementtree.c b/Modules/_elementtree.c
@@ -3709,6 +3709,37 @@ xmlparser_getattro(XMLParserObject* self, PyObject* nameobj)
     return PyObject_GenericGetAttr((PyObject*) self, nameobj);
 }
 
+static PyObject*
+xmlparser_huge_xml_getter(XMLParserObject *self, void *closure)
+{
+    if (EXPAT(GetOption) != NULL) {
+        XML_Bool hx = XML_FALSE;
+        if (EXPAT(GetOption)(self->parser, XML_OPTION_HUGE_XML, &hx) != XML_STATUS_OK) {
+            PyErr_SetString(PyExc_RuntimeError, "Failed to get option value");
+            return NULL;
+        }
+        return PyBool_FromLong((long)hx);
+    } else {
+        Py_RETURN_NONE;
+    }
+}
+
+static int
+xmlparser_huge_xml_setter(XMLParserObject *self, PyObject *value, void *closure)
+{
+    if (EXPAT(SetOption) != NULL) {
+        XML_Bool hx = PyObject_IsTrue(value) ? XML_TRUE : XML_FALSE;
+        if (EXPAT(SetOption)(self->parser, XML_OPTION_HUGE_XML, &hx) != XML_STATUS_OK) {
+            PyErr_SetString(PyExc_RuntimeError, "Failed to set option");
+            return -1;
+        }
+        return 0;
+    } else {
+        PyErr_SetString(PyExc_ValueError, "expat version doesn't support huge XML limit");
+        return -1;
+    }
+}
+
 #include "clinic/_elementtree.c.h"
 
 static PyMethodDef element_methods[] = {
@@ -3874,6 +3905,14 @@ static PyMethodDef xmlparser_methods[] = {
     {NULL, NULL}
 };
 
+static PyGetSetDef xmlparser_getsetlist[] = {
+    {"huge_xml",
+        (getter)xmlparser_huge_xml_getter,
+        (setter)xmlparser_huge_xml_setter,
+        "Allow huge entities and disable entity expansion protection"},
+      {NULL},
+};
+
 static PyTypeObject XMLParser_Type = {
     PyVarObject_HEAD_INIT(NULL, 0)
     "xml.etree.ElementTree.XMLParser", sizeof(XMLParserObject), 0,
@@ -3904,7 +3943,7 @@ static PyTypeObject XMLParser_Type = {
     0,                                              /* tp_iternext */
     xmlparser_methods,                              /* tp_methods */
     0,                                              /* tp_members */
-    0,                                              /* tp_getset */
+    xmlparser_getsetlist,                           /* tp_getset */
     0,                                              /* tp_base */
     0,                                              /* tp_dict */
     0,                                              /* tp_descr_get */
diff --git a/Modules/expat/expat.h b/Modules/expat/expat.h
diff --git a/Modules/expat/pyexpatns.h b/Modules/expat/pyexpatns.h
diff --git a/Modules/expat/xmlparse.c b/Modules/expat/xmlparse.c
diff --git a/Modules/pyexpat.c b/Modules/pyexpat.c
