gerrit.onap Code Review - policy/distribution.git/blob

   1 /*-
   2  * ============LICENSE_START=======================================================
   3  *  Copyright (C) 2018 Ericsson. All rights reserved.
   4  *  Copyright (C) 2019 Nordix Foundation.
   5  *  Modifications Copyright (C) 2020-2021 AT&T Inc.
   6  * ================================================================================
   7  * Licensed under the Apache License, Version 2.0 (the "License");
   8  * you may not use this file except in compliance with the License.
   9  * You may obtain a copy of the License at
  10  *
  11  *      http://www.apache.org/licenses/LICENSE-2.0
  12  *
  13  * Unless required by applicable law or agreed to in writing, software
  14  * distributed under the License is distributed on an "AS IS" BASIS,
  15  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  16  * See the License for the specific language governing permissions and
  17  * limitations under the License.
  18  *
  19  * SPDX-License-Identifier: Apache-2.0
  20  * ============LICENSE_END=========================================================
  21  */
  22
  23 package org.onap.policy.distribution.reception.decoding.policy.file;
  24
  25 import java.io.IOException;
  26 import java.nio.file.Path;
  27 import java.nio.file.Paths;
  28 import java.util.ArrayList;
  29 import java.util.Collection;
  30 import java.util.Enumeration;
  31 import java.util.zip.ZipEntry;
  32 import java.util.zip.ZipFile;
  33 import org.onap.policy.common.parameters.ParameterService;
  34 import org.onap.policy.common.utils.coder.CoderException;
  35 import org.onap.policy.common.utils.coder.StandardCoder;
  36 import org.onap.policy.distribution.model.Csar;
  37 import org.onap.policy.distribution.model.PolicyInput;
  38 import org.onap.policy.distribution.reception.decoding.PolicyDecoder;
  39 import org.onap.policy.distribution.reception.decoding.PolicyDecodingException;
  40 import org.onap.policy.models.tosca.authorative.concepts.ToscaEntity;
  41 import org.onap.policy.models.tosca.authorative.concepts.ToscaServiceTemplate;
  42
  43 /**
  44  * This class extracts policy files from a CSAR file.
  45  *
  46  * @author Ram Krishna Verma (ram.krishna.verma@ericsson.com)
  47  */
  48 public class PolicyDecoderFileInCsarToPolicy implements PolicyDecoder<Csar, ToscaEntity> {
  49
  50     private PolicyDecoderFileInCsarToPolicyParameterGroup decoderParameters;
  51     private StandardCoder coder;
  52
  53     /**
  54      * {@inheritDoc}.
  55      */
  56     @Override
  57     public void configure(final String parameterGroupName) {
  58         decoderParameters = ParameterService.get(parameterGroupName);
  59         coder = new StandardCoder();
  60     }
  61
  62     /**
  63      * {@inheritDoc}.
  64      */
  65     @Override
  66     public boolean canHandle(final PolicyInput policyInput) {
  67         return policyInput.getClass().isAssignableFrom(Csar.class);
  68     }
  69
  70     /**
  71      * {@inheritDoc}.
  72      */
  73     @Override
  74     public Collection<ToscaEntity> decode(final Csar csar) throws PolicyDecodingException {
  75         final Collection<ToscaEntity> policyList = new ArrayList<>();
  76
  77         try (ZipFile zipFile = new ZipFile(csar.getCsarPath())) {
  78             final Enumeration<? extends ZipEntry> entries = zipFile.entries();
  79             while (entries.hasMoreElements()) {
  80                 final ZipEntry entry = entries.nextElement();
  81                 if (isZipEntryValid(entry, csar.getCsarPath())) {
  82                     final ToscaServiceTemplate policy =
  83                             coder.decode(zipFile.getInputStream(entry), ToscaServiceTemplate.class);
  84                     policyList.add(policy);
  85                 }
  86             }
  87         } catch (final IOException | CoderException exp) {
  88             throw new PolicyDecodingException("Failed decoding the policy", exp);
  89         }
  90
  91         return policyList;
  92     }
  93
  94     /**
  95      * Method to filter out Policy type and Policy files. In addition,
  96      * ensures validation of entries in the Zipfile. Attempts to solve path
  97      * injection java security issues.
  98      *
  99      * @param entry the ZipEntry to check
 100      * @param csarPath Absolute path to the csar the ZipEntry is in
 101      * @return true if no injection detected, and it is a policy type  or policy file.
 102      */
 103     private boolean isZipEntryValid(ZipEntry entry, String csarPath) {
 104         //
 105         // We only care about policy types and policies
 106         //
 107         if (entry.getName().contains(decoderParameters.getPolicyTypeFileName())
 108                 || entry.getName().contains(decoderParameters.getPolicyFileName())) {
 109             //
 110             // Now ensure that there is no path injection
 111             //
 112             Path path = Path.of(csarPath, entry.getName()).normalize();
 113             return path.startsWith(csarPath);
 114         }
 115
 116         return false;
 117     }
 118 }