Tha cudromachd mion-sgrùdadh air co-phàirtean bathar-bog treas-phàrtaidh (Mion-sgrùdadh Co-dhèanamh Bathar-bog - SCA) sa phròiseas leasachaidh a’ fàs le bhith a’ foillseachadh aithisgean bliadhnail air so-leòntachd leabharlannan stòr fosgailte, a tha air am foillseachadh le Synopsys, Sonatype, Snyk, agus White Source . A rèir na h-aithisg chaidh an àireamh de chugallachd stòr fosgailte a chaidh a chomharrachadh ann an 2019 suas faisg air 1.5 uair an taca ris a’ bhliadhna roimhe, fhad ‘s a tha co-phàirtean stòr fosgailte air an cleachdadh le 60% gu 80% de phròiseactan. Air stèidh neo-eisimeileach, tha pròiseasan SCA nan cleachdadh air leth de OWASP SAMM agus BSIMM mar chomharradh air inbheachd, agus anns a’ chiad leth de 2020, leig OWASP a-mach Inbhe Dearbhaidh Co-phàirt Bathar-bog OWASP (SCVS), a’ toirt seachad na cleachdaidhean as fheàrr airson a bhith a’ dearbhadh an treas ìre. pàirtean pàrtaidh anns an t-sèine solair BY.
Aon de na cùisean as dealbhaiche le Equifax sa Chèitean 2017. Fhuair luchd-ionnsaigh neo-aithnichte fiosrachadh mu 143 millean Ameireaganaich, a’ toirt a-steach ainmean slàn, seòlaidhean, àireamhan Tèarainteachd Shòisealta agus ceadan draibhear. Ann an 209 cùis, bha fiosrachadh anns na sgrìobhainnean cuideachd mu chairtean banca an luchd-fulaing. Thachair an aodion seo mar thoradh air a bhith a’ gabhail brath air so-leòntachd èiginneach ann an Apache Struts 000 (CVE-2-2017), fhad ‘s a chaidh am fuasgladh a leigeil ma sgaoil air ais sa Mhàrt 5638. Bha dà mhìos aig a’ chompanaidh airson an ùrachadh a chuir a-steach, ach cha do chuir duine dragh sam bith air.
Bruidhnidh an artaigil seo air a ’cheist mu bhith a’ taghadh inneal airson a bhith a ’dèanamh SCA bho shealladh càileachd toraidhean an anailis. Thèid coimeas gnìomh de na h-innealan a thoirt seachad cuideachd. Bidh am pròiseas fhilleadh a-steach do CI / CD agus comasan amalachaidh air fhàgail airson foillseachaidhean às deidh sin. Chaidh raon farsaing de dh’ innealan a thaisbeanadh le OWASP , ach anns an ath-bhreithneachadh làithreach cha chuir sinn fios ach air an inneal stòr fosgailte as mòr-chòrdte Sgrùdadh eisimeileachd, an àrd-ùrlar stòr fosgailte beagan nach eil cho aithnichte Dependency Track agus am fuasgladh Iomairt Sonatype Nexus IQ. Tuigidh sinn cuideachd mar a bhios na fuasglaidhean sin ag obair agus nì sinn coimeas eadar na toraidhean a gheibhear airson nithean ceàrr.
Ciamar a tha e ag obair
na ghoireas (CLI, maven, modal jenkins, seang) a bhios a’ sgrùdadh faidhlichean pròiseict, a ’tional pìosan fiosrachaidh mu eisimeileachd (ainm pacaid, groupid, tiotal sònrachaidh, dreach ...), a’ togail loidhne CPE (Àireamh Àrd-ùrlar Coitcheann) , URL pacaid (PURL) agus a’ comharrachadh so-leòntachd airson CPE / PURL bho stòran-dàta (NVD, Sonatype OSS Index, NPM Audit API ...), às deidh sin bidh e a’ togail aithisg aon-ùine ann an cruth HTML, JSON, XML ...
Bheir sinn sùil air cò ris a tha CPE coltach:
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other- Pàirt: Comharradh gu bheil am pàirt co-cheangailte ris an tagradh (a), siostam obrachaidh (o), bathar-cruaidh (h) (Riatanach)
- Reiceadair: Ainm neach-dèanamh toraidh (riatanach)
- bathar: Ainm toraidh (riatanach)
- Version: Tionndadh co-phàirteach (Nì nach eil à bith)
- update: Ath-nuadhachadh pacaid
- Edition: Tionndadh dìleab (rud nach deach a mholadh)
- cànain: Cànan air a mhìneachadh ann an RFC-5646
- Deasachadh SW: Tionndadh bathar-bog
- Targaid SW: Àrainneachd bathar-bog anns a bheil an toradh ag obair
- Targaid HW: An àrainneachd bathar-cruaidh anns a bheil an toradh ag obair
- Eile: Solaraiche no Fiosrachadh Bathar
Tha eisimpleir CPE a’ coimhead mar seo:
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
Tha an loidhne a’ ciallachadh gu bheil CPE dreach 2.3 a’ toirt cunntas air a’ phàirt tagraidh bhon neach-dèanamh pivotal_software leis an ainm spring_framework tionndadh 3.0.0. Ma dh'fhosglas sinn so-leòntachd ann an NVD, chì sinn iomradh air an CPE seo. Is e a’ chiad dhuilgheadas air am bu chòir dhut aire a thoirt sa bhad gu bheil CVE ann an NVD, a rèir CPE, ag aithris duilgheadas san fhrèam, agus chan ann ann am pàirt sònraichte. Is e sin, ma tha luchd-leasachaidh ceangailte gu teann ris an fhrèam, agus nach toir an so-leòntachd a chaidh a chomharrachadh buaidh air na modalan sin a bhios an luchd-leasachaidh a’ cleachdadh, feumaidh eòlaiche tèarainteachd aon dòigh no dòigh eile an CVE seo a thoirt air falbh agus smaoineachadh air ùrachadh.
Tha an URL cuideachd air a chleachdadh le innealan SCA. Tha cruth URL a’ phacaid mar a leanas:
scheme:type/namespace/name@version?qualifiers#subpath- Sgeama: Bidh ‘pkg’ an-còmhnaidh a’ nochdadh gur e URL pacaid a tha seo (Riatanach)
- seòrsa: An “seòrsa” den phacaid no am “protocol” den phacaid, leithid maven, npm, nuget, gem, pypi, msaa. (Rud a tha a dhìth)
- Ainm-àite: Cuid de ro-leasachan ainm, leithid ID buidheann Maven, sealbhadair ìomhaigh Docker, neach-cleachdaidh GitHub, no buidheann. Roghainneil agus an urra ris an t-seòrsa.
- ainm: Ainm pacaid (riatanach)
- Version: Tionndadh pacaid
- Teisteanasan: Dàta teisteanais a bharrachd airson a’ phacaid, leithid OS, ailtireachd, cuairteachadh, msaa Roghainneil agus seòrsa sònraichte.
- Fo-rathad: Slighe a bharrachd sa phacaid an coimeas ri freumh a’ phacaid
Mar eisimpleir:
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]- àrd-ùrlar lìn air-làraich a ghabhas ri Bile Stuthan deiseil (BOM) a chaidh a chruthachadh и , is e sin, mion-chomharrachadh deiseil mu eisimeileachd a th’ ann mar-thà. Seo faidhle XML a tha a’ toirt cunntas air na eisimeileachd - ainm, hashes, url pacaid, foillsichear, cead. An ath rud, bidh Dependency Track a’ parsadh am BOM, a’ coimhead air na CVEn a tha rim faighinn leis na h-eisimeileachdan comharraichte bhon stòr-dàta so-leòntachd (NVD, Sonatype OSS Index ...), às deidh sin bidh e a’ togail ghrafaichean, a’ tomhas meatrach, ag ùrachadh dàta gu cunbhalach mu inbhe so-leòntachd phàirtean. .
Eisimpleir de choltas BOM ann an cruth XML:
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>Faodar BOM a chleachdadh chan ann a-mhàin mar pharaimearan cuir a-steach airson Rian Dependency, ach cuideachd airson a bhith a’ clàradh phàirtean bathar-bog san t-sèine solair, mar eisimpleir, airson bathar-bog a thoirt do neach-ceannach. Ann an 2014, chaidh lagh eadhon a mholadh anns na Stàitean Aonaichte , a thuirt nuair a bhathar a’ ceannach bathar-bog, stàite sam bith. Feumaidh an stèidheachd BOM iarraidh gus casg a chuir air cleachdadh phàirtean so-leònte, ach chan eil an achd air a thighinn an gnìomh fhathast.
A’ tilleadh gu SCA, tha Dependency Track air aonachadh deiseil le Àrd-ùrlaran Fiosrachaidh mar Slack, siostaman riaghlaidh so-leòntachd leithid Kenna Security. Is fhiach a ràdh cuideachd gu bheil Dependency Track, am measg rudan eile, a’ comharrachadh tionndaidhean seann-fhasanta de phasganan agus a’ toirt seachad fiosrachadh mu cheadan (mar thoradh air taic SPDX).
Ma tha sinn a 'bruidhinn gu sònraichte mu chàileachd SCA, tha eadar-dhealachadh bunaiteach ann.
Chan eil Dependency Track a’ gabhail ris a’ phròiseact mar chur-a-steach, ach am BOM. Tha seo a’ ciallachadh ma tha sinn airson deuchainn a dhèanamh air a’ phròiseact, feumaidh sinn an toiseach bom.xml a ghineadh, mar eisimpleir a’ cleachdadh CycloneDX. Mar sin, tha Track Dependency Track gu dìreach an urra ri CycloneDX. Aig an aon àm, tha e a 'ceadachadh gnàthachadh. Seo na sgrìobh sgioba OZON airson faidhlichean BOM a chur ri chèile airson pròiseactan Golang airson tuilleadh sganadh tro Dependency Track.
na fhuasgladh SCA malairteach bho Sonatype, a tha na phàirt de eag-shiostam Sonatype, a tha cuideachd a’ toirt a-steach Manaidsear Stòr Nexus. Faodaidh Nexus IQ gabhail ris mar chur-a-steach an dà chuid tasglann cogaidh (airson pròiseactan java) tron eadar-aghaidh lìn no API, agus BOM, mura h-eil do bhuidheann fhathast air tionndadh bho CycloneDX gu fuasgladh ùr. Eu-coltach ri fuasglaidhean stòr fosgailte, tha IQ a’ toirt iomradh chan ann a-mhàin air CP/PURL ris a’ phàirt ainmichte agus so-leòntachd co-fhreagarrach san stòr-dàta, ach bidh e cuideachd a’ toirt aire don rannsachadh aige fhèin, mar eisimpleir, ainm a’ ghnìomh no a’ chlas so-leònte. Thèid dòighean IQ a dheasbad nas fhaide air adhart ann am mion-sgrùdadh nan toraidhean.
Bheir sinn geàrr-chunntas air cuid de na feartan gnìomh, agus beachdaich cuideachd air na cànanan le taic airson mion-sgrùdadh:
Cànan
Nexus IQ
Sgrùdadh eisimeileachd
Rian an eisimeil
Java
+
+
+
C / C ++
+
+
-
C#
+
+
-
.Net
+
+
+
erlang
-
-
+
JavaScript (NodeJS)
+
+
+
PHP
+
+
+
Python
+
+
+
Ruby
+
+
+
Perl
-
-
-
Scala
+
+
+
Amas C.
+
+
-
Swift
+
+
-
R
+
-
-
Go
+
+
+
Gnìomhachd
Gnìomhachd
Nexus IQ
Sgrùdadh eisimeileachd
Rian an eisimeil
An comas dèanamh cinnteach gu bheil na pàirtean a thathar a’ cleachdadh sa chòd stòr air an sgrùdadh airson purrachd ceadaichte
+
-
+
Comas sganadh agus sgrùdadh airson so-leòntachd agus glainead cead airson ìomhaighean Docker
+ Amalachadh le Clair
-
-
Comas poileasaidhean tèarainteachd a rèiteachadh gus leabharlannan le còd fosgailte a chleachdadh
+
-
-
Comas air stòran fosgailte a sganadh airson co-phàirtean so-leònte
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ Hex, RubyGems, Maven, NPM, Nuget, Pypi
Ri fhaighinn de bhuidheann rannsachaidh sònraichte
+
-
-
Obrachadh lùb dùinte
+
+
+
A’ cleachdadh stòran-dàta treas-phàrtaidh
+ Stòr-dàta Sonatype dùinte
+ Sonatype OSS, Comhairlichean Poblach NPM
+ Sonatype OSS, Comhairlichean Poblach NPM, RetireJS, VulnDB, taic airson an stòr-dàta so-leòntachd fhèin
Comas co-phàirtean stòr fosgailte a shìoladh nuair a thathar a’ feuchainn ri luchdachadh a-steach don lùb leasachaidh a rèir poileasaidhean rèiteachaidh
+
-
-
Molaidhean airson so-leòntachd a shocrachadh, cothrom air ceanglaichean gu fuasglaidhean
+
+ - (an urra ris an tuairisgeul ann an stòran-dàta poblach)
+ - (an urra ris an tuairisgeul ann an stòran-dàta poblach)
Rangachadh de chugallachd a chaidh a lorg a rèir dè cho dona ‘s a tha e
+
+
+
Modail ruigsinneachd stèidhichte air dreuchd
+
-
+
taic CLI
+
+
+ - (airson CycloneDX a-mhàin)
Samplachadh/seòrsachadh so-leòntachd a rèir slatan-tomhais comharraichte
+
-
+
Deas-bhòrd a rèir inbhe an tagraidh
+
-
+
A ' cruthachadh aithisgean ann an cruth pdf
+
-
-
A’ gineadh aithisgean ann an cruth JSONCSV
+
+
-
Taic cànain Ruiseanach
-
-
-
Comasan amalachaidh
Integreachadh
Nexus IQ
Sgrùdadh eisimeileachd
Rian an eisimeil
Amalachadh LDAP/Active Directory
+
-
+
Amalachadh le siostam amalachaidh leantainneach Bambù
+
-
-
Amalachadh le siostam amalachaidh leantainneach TeamCity
+
-
-
Amalachadh le siostam amalachaidh leantainneach GitLab
+
+ - (mar plugan airson GitLab)
+
Amalachadh le siostam amalachaidh leantainneach Jenkins
+
+
+
Na tha ri fhaighinn de plugins airson IDE
+ IntelliJ, Eclipse, Visual Studio
-
-
Taic airson amalachadh àbhaisteach tro sheirbheisean lìn (API) den inneal
+
-
+
Sgrùdadh eisimeileachd
A 'chiad turas
Feuch an ruith sinn Sgrùdadh Dependency air tagradh a tha so-leònte a dh’aona ghnothach .
Airson seo cleachdaidh sinn :
mvn org.owasp:dependency-check-maven:checkMar thoradh air an sin, nochdaidh eisimeileachd-check-report.html anns an eòlaire targaid.
Nach fosgail sinn am faidhle. Às deidh fiosrachadh geàrr-chunntas mun àireamh iomlan de chugallachd, chì sinn fiosrachadh mu chugallachd le ìre àrd de Dhìomhaireachd agus Misneachd, a’ nochdadh a’ phacaid, CPE, agus an àireamh de CVEn.
An uairsin thig fiosrachadh nas mionaidiche, gu sònraichte am bunait air an deach an co-dhùnadh a dhèanamh (fianais), is e sin, BOM sònraichte.
An uairsin thig an tuairisgeul CPE, PURL agus CVE. Air an t-slighe, chan eil molaidhean airson ceartachadh air an gabhail a-steach leis nach eil iad ann an stòr-dàta NVD.
Gus toraidhean scan fhaicinn gu riaghailteach, faodaidh tu Nginx a rèiteachadh le glè bheag de shuidheachaidhean, no na h-uireasbhaidhean a thig às a chuir gu siostam riaghlaidh easbhaidh a bheir taic do luchd-ceangail gu Sgrùdadh eisimeileachd. Mar eisimpleir, Defect Dojo.
Rian an eisimeil
suidheachadh
Tha Dependency Track, an uair sin, na àrd-ùrlar stèidhichte air an lìon le grafaichean taisbeanaidh, agus mar sin chan eil a’ cheist èiginneach mu bhith a’ stòradh lochdan ann am fuasgladh treas-phàrtaidh ag èirigh an seo.
Is iad na sgriobtaichean le taic airson an stàladh: Docker, WAR, Executable WAR.
A 'chiad turas
Thèid sinn gu URL na seirbheis ruith. Bidh sinn a’ logadh a-steach tro admin/admin, ag atharrachadh an logadh a-steach agus am facal-faire, agus an uairsin a’ faighinn chun deas-bhòrd. Is e an ath rud a nì sinn pròiseact a chruthachadh airson tagradh deuchainn ann an Java ann an Dachaigh/Pròiseactan → Cruthaich Pròiseact . Gabhamaid an DVJA mar eisimpleir.
Leis nach urrainn do Dependency Track ach gabhail ri BOM mar chur-a-steach, feumar am BOM seo fhaighinn air ais. Gabhamaid brath :
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBomGheibh sinn bom.xml agus luchdaich sinn am faidhle sa phròiseact a chaidh a chruthachadh website → Luchdaich a-nuas am BOM.
Rachamaid gu Rianachd → Analyzers. Tha sinn a’ tuigsinn nach eil againn ach Mion-sgrùdaire Taobh a-staigh comasach, a tha a’ toirt a-steach NVD. Nach ceangail sinn cuideachd Sonatype OSS Index.
Mar sin, gheibh sinn an dealbh a leanas airson ar pròiseact:
Cuideachd air an liosta gheibh thu aon so-leòntachd a tha buntainneach ri Sonatype OSS:
B’ e am prìomh bhriseadh-dùil nach eil Dependency Track a’ gabhail ri aithisgean xml Dependency Check tuilleadh. B’ e 1.0.0 - 4.0.2 na dreachan le taic as ùire den amalachadh Sgrùdadh Dependency, fhad ‘s a rinn mi deuchainn air 5.3.2.
an seo (agus ) nuair a bha e fhathast comasach.
Nexus IQ
A 'chiad turas
Tha stàladh Nexus IQ a 'tighinn bho thasglannan de , ach thog sinn ìomhaigh Docker airson na h-adhbharan sin.
Às deidh dhut logadh a-steach don consol, feumaidh tu Eagrachadh agus Iarrtas a chruthachadh.
Mar a chì thu, tha an suidheachadh ann an cùis IQ beagan nas iom-fhillte, oir feumaidh sinn cuideachd poileasaidhean a chruthachadh a tha iomchaidh airson diofar “ìrean” (dev, togail, ìre, sgaoileadh). Tha seo riatanach gus casg a chuir air co-phàirtean so-leònte fhad ‘s a bhios iad a’ gluasad tron loidhne-phìoban nas fhaisge air cinneasachadh, no gus am bacadh cho luath ‘s a gheibh iad a-steach don Nexus Repo nuair a thèid an luchdachadh sìos le luchd-leasachaidh.
Gus a bhith a’ faireachdainn an eadar-dhealachadh eadar stòr fosgailte agus iomairt, dèanamaid an aon scan tro Nexus IQ san aon dòigh troimhe , an dèidh dha tagradh deuchainn a chruthachadh roimhe seo ann an eadar-aghaidh NexusIQ dvja-test-and-compare:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
Lean an URL chun na h-aithisg a chaidh a chruthachadh anns an eadar-aghaidh lìn IQ:
An seo chì thu a h-uile briseadh poileasaidh a’ nochdadh diofar ìrean cudromach (bho Info gu Security Critical). Tha an litir D ri taobh na co-phàirt a’ ciallachadh gur e eisimeileachd dhìreach a th’ anns a’ cho-phàirt, agus tha an litir T ri taobh a’ cho-phàirt a’ ciallachadh gur e Transitive Dependency a th’ anns a’ phàirt, is e sin, tha e tar-ghluasadach.
Air an t-slighe, an aithisg bho Snyk ag aithris gu bheil còrr air 70% de so-leòntachd stòr fosgailte a chaidh a lorg ann an Node.js, Java agus Ruby ann an eisimeileachd tar-ghluasadach.
Ma dh'fhosglas sinn aon de na brisidhean poileasaidh Nexus IQ, chì sinn tuairisgeul air a 'phàirt, a bharrachd air Graf Tionndadh, a sheallas far a bheil an dreach làithreach anns a' ghraf ùine, a bharrachd air dè an ìre a sguir an so-leòntachd. bhi so-leònte. Tha àirde nan coinnlean air a’ ghraf a’ sealltainn cho mòr sa tha cleachdadh na co-phàirt seo.
Ma thèid thu chun roinn so-leòntachd agus leudaich an CVE, faodaidh tu tuairisgeul a leughadh air an so-leòntachd seo, molaidhean airson cuir às, a bharrachd air an adhbhar gun deach am pàirt seo a bhriseadh, is e sin, làthaireachd a ’chlas DiskFileitem.class.
Nach toir sinn geàrr-chunntas ach air an fheadhainn a tha co-cheangailte ri co-phàirtean Java treas-phàrtaidh, a’ toirt air falbh na co-phàirtean js. Ann am brathan tha sinn a’ comharrachadh an àireamh de chugallachd a chaidh a lorg taobh a-muigh NVD.
IQ Nexus iomlan:
- Sganadh eisimeileachd: 62
- Euslaintean so-leònte: 16
- So-leòntachd air a lorg: 42 (8 sonatype db)
Sgrùdadh eisimeileachd iomlan:
- Sganadh eisimeileachd: 47
- Euslaintean so-leònte: 13
- So-leòntachd air a lorg: 91 (14 sonatype oss)
Clàr an eisimeil iomlan:
- Sganadh eisimeileachd: 59
- Euslaintean so-leònte: 10
- So-leòntachd air a lorg: 51 (1 sonatype oss)
Anns na h-ath cheumannan, nì sinn mion-sgrùdadh air na toraidhean a gheibhear agus faigh a-mach dè na so-leòntachd sin a tha na fhìor uireasbhaidh agus a tha na fhìor locht.
Àicheadh
Chan eil an lèirmheas seo na fhìrinn gun teagamh. Cha robh amas aig an ùghdar inneal fa-leth a chomharrachadh an aghaidh cùl-fhiosrachadh chàich. B’ e adhbhar an ath-bhreithneachaidh dòighean obrachaidh innealan SCA a nochdadh agus dòighean air na toraidhean aca a sgrùdadh.
Coimeas eadar toraidhean
Cùmhnantan:
Is e dearbhadh meallta airson so-leòntachd pàirtean treas-phàrtaidh:
- Mì-chothromachadh CVE ris a’ phàirt a chaidh a chomharrachadh
- Mar eisimpleir, ma tha so-leòntachd air a chomharrachadh ann am frèam struts2, agus gu bheil an inneal a’ comharrachadh pàirt den fhrèam struts-tiles, ris nach eil an so-leòntachd seo a’ buntainn, is e dearbhadh meallta a tha seo.
- Mìneachadh CVE ris an dreach ainmichte den cho-phàirt
- Mar eisimpleir, tha an so-leòntachd ceangailte ri dreach python> 3.5 agus tha an inneal a’ comharrachadh dreach 2.7 mar so-leònte - is e dearbhadh meallta a tha seo, oir gu dearbh chan eil an so-leòntachd a ’buntainn ach ri meur toraidh 3.x
- CVE dùblaichte
- Mar eisimpleir, ma shònraicheas an SCA CVE a bheir comas do RCE, an uairsin bidh an SCA a’ sònrachadh CVE airson an aon phàirt sin a tha a’ buntainn ri toraidhean Cisco air an tug an RCE sin buaidh. Anns a 'chùis seo bidh e meallta deimhinneach.
- Mar eisimpleir, chaidh CVE a lorg ann am pàirt lìn earraich, às deidh sin tha SCA a’ comharrachadh an aon CVE ann am pàirtean eile de Fhrèam an Earraich, fhad ‘s nach eil dad aig an CVE ri co-phàirtean eile. Anns a 'chùis seo bidh e meallta deimhinneach.
B’ e adhbhar an sgrùdaidh am pròiseact Open Source DVJA. Cha robh anns an sgrùdadh ach co-phàirtean java (às aonais js).
Geàrr-chunntas toraidhean
Rachamaid dìreach gu toraidhean lèirmheas làimhe air so-leòntachd comharraichte. Gheibhear an aithisg slàn airson gach CVE anns a’ Phàipear-taice.
Toraidhean geàrr-chunntas airson gach so-leòntachd:
Parameter
Nexus IQ
Sgrùdadh eisimeileachd
Rian an eisimeil
So-leòntachd iomlan air a chomharrachadh
42
91
51
So-leòntachd air an comharrachadh gu ceart (dearbhach meallta)
2 (4.76%)
62 (68,13%)
29 (56.86%)
Cha deach so-leòntachd iomchaidh a lorg (meallta àicheil)
10
20
27
Toraidhean geàrr-chunntas a rèir co-phàirt:
Parameter
Nexus IQ
Sgrùdadh eisimeileachd
Rian an eisimeil
Co-phàirtean iomlan air an comharrachadh
62
47
59
Co-phàirtean so-leònte iomlan
16
13
10
Co-phàirtean so-leònte air an comharrachadh gu ceart (dearbhach meallta)
1
5
0
Co-phàirtean so-leònte air an comharrachadh gu ceart (dearbhach meallta)
0
6
6
Togamaid grafaichean lèirsinneach gus measadh a dhèanamh air a’ cho-mheas eadar dearbhach meallta agus àicheil meallta ris an àireamh iomlan de chugallachd. Tha co-phàirtean air an comharrachadh gu còmhnard, agus tha so-leòntachd a tha air a chomharrachadh annta air an comharrachadh gu dìreach.
Airson coimeas a dhèanamh, chaidh sgrùdadh coltach ris a dhèanamh leis an sgioba Sonatype a ’dèanamh deuchainn air pròiseact de phàirtean 1531 a’ cleachdadh Sgrùdadh eisimeileachd OWASP. Mar a chì sinn, tha an co-mheas de fhuaim gu freagairtean ceart an coimeas ris na toraidhean againn.
Source:
Bheir sinn sùil air cuid de CVEn bho na toraidhean scan againn gus an adhbhar airson na toraidhean sin a thuigsinn.
Tuilleadh
No.1
Nach toir sinn sùil an-toiseach air cuid de phuingean inntinneach mun Sonatype Nexus IQ.
Tha Nexus IQ a’ comharrachadh cùis le deserialization leis a’ chomas air RCE a dhèanamh ann am Frèam an Earraich iomadh uair. CVE-2016-1000027 ann an lìn an earraich: 3.0.5 a’ chiad uair, agus CVE-2011-2894 ann an co-theacsa earraich: 3.0.5 agus spring-core: 3.0.5. An toiseach, tha e coltach gu bheil dùblachadh so-leòntachd thar ioma CVEn. Air sgàth, ma choimheadas tu air CVE-2016-1000027 agus CVE-2011-2894 anns an stòr-dàta NVD, tha e coltach gu bheil a h-uile dad follaiseach
Component
So-leòntachd
lìn an earraich: 3.0.5
CVE-2016-1000027
earrach-co-theacsa: 3.0.5
CVE-2011-2894
cridhe an earraich: 3.0.5
CVE-2011-2894
Tuairisgeul bho NVD:
Tuairisgeul bho NVD:
Tha CVE-2011-2894 fhèin gu math ainmeil. Anns an aithisg chaidh an CVE seo aithneachadh mar aon den fheadhainn as cumanta. Tha tuairisgeulan airson CVE-2016-100027, ann am prionnsapal, glè bheag ann an NVD, agus tha e coltach nach eil e iomchaidh ach airson Spring Framework 4.1.4. Bheir sinn sùil air agus an seo bidh a h-uile dad nas soilleire no nas lugha. Bho Tha sinn a’ tuigsinn sin a bharrachd air an so-leòntachd ann an RemoteInvocationSerializingExporter ann an CVE-2011-2894, tha an so-leòntachd air fhaicinn ann an HttpInvokerServiceExporter. Seo na tha Nexus IQ ag innse dhuinn:
Ach, chan eil dad mar seo ann an NVD, agus is e sin as coireach gu bheil Sgrùdadh Dependency agus Track Dependency Track a’ faighinn àicheil meallta.
Cuideachd bhon tuairisgeul air CVE-2011-2894 faodar a thuigsinn gu bheil an so-leòntachd gu dearbh an làthair ann an co-theacsa an earraich: 3.0.5 agus spring-core: 3.0.5. Gheibhear dearbhadh air seo ann an artaigil bhon neach a lorg an so-leòntachd seo.
No.2
Component
So-leòntachd
thoradh air
struthan2-cridhe: 2.3.30
CVE-2016-4003
CEÀRR
Ma nì sinn sgrùdadh air so-leòntachd CVE-2016-4003, tuigidh sinn gu robh e stèidhichte ann an dreach 2.3.28, ge-tà, tha Nexus IQ ag aithris dhuinn. Tha nota anns an tuairisgeul air so-leòntachd:
Is e sin, chan eil an so-leòntachd ann ach an co-bhonn ri dreach seann-fhasanta den JRE, a chuir iad romhpa rabhadh a thoirt dhuinn mu dheidhinn. A dh’ aindeoin sin, tha sinn den bheachd gu bheil seo meallta deimhinneach, ged nach e am fear as miosa.
# 3
Component
So-leòntachd
thoradh air
xwork-core: 2.3.30
CVE-2017-9804
CEART
xwork-core: 2.3.30
CVE-2017-7672
CEÀRR
Ma choimheadas sinn air na tuairisgeulan air CVE-2017-9804 agus CVE-2017-7672, tuigidh sinn gur e an duilgheadas a th’ ann. URLValidator class, le CVE-2017-9804 a’ tighinn bho CVE-2017-7672. Chan eil làthaireachd an dàrna so-leòntachd a’ giùlan luchd feumail sam bith ach a-mhàin gu bheil cho dona sa tha e air a dhol suas gu Àrd, agus mar sin is urrainn dhuinn beachdachadh air fuaim neo-riatanach.
Gu h-iomlan, cha deach dad ceàrr a lorg airson Nexus IQ.
No.4
Tha grunn rudan ann a bheir air IQ seasamh a-mach bho fhuasglaidhean eile.
Component
So-leòntachd
thoradh air
lìn an earraich: 3.0.5
CVE-2020-5398
CEART
Tha an CVE anns an NVD ag ràdh nach eil e a’ buntainn ach ri dreachan 5.2.x ro 5.2.3, 5.1.x ro 5.1.13, agus dreachan 5.0.x ro 5.0.16, ge-tà, ma choimheadas sinn air an tuairisgeul CVE ann an Nexus IQ , an uairsin chì sinn na leanas:
Sanas Deviation Comhairleachaidh: Lorg an sgioba sgrùdaidh tèarainteachd Sonatype gun deach an so-leòntachd seo a thoirt a-steach ann an dreach 3.0.2.RELEASE agus chan e 5.0.x mar a chaidh a ràdh sa chomhairle.
Tha seo air a leantainn le PoC airson an so-leòntachd seo, a tha ag ràdh gu bheil e an làthair ann an dreach 3.0.5.
Thèid àicheil meallta a chuir gu Sgrùdadh eisimeileachd agus Rian an eisimeil.
No.5
Bheir sinn sùil air dearbhach meallta airson Sgrùdadh eisimeileachd agus Rian Euslainteach.
Tha Sgrùdadh Eisimeileachd a’ seasamh a-mach leis gu bheil e a’ nochdadh na CVEn sin a tha a’ buntainn ris an fhrèam iomlan ann an NVD ris na co-phàirtean sin ris nach eil na CVEn sin a’ buntainn. Tha seo a’ buntainn ri CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182, a tha an urra ri sgrùdadh creideas ” gu struts-taglib: 1.3.8 agus stiallan-leacan-1.3.8. Chan eil gnothach aig na co-phàirtean sin ris na tha air a mhìneachadh anns an CVE - giullachd iarrtasan, dearbhadh duilleag, agus mar sin air adhart. Tha seo air sgàth 's nach eil anns na tha aig na CVEn agus na co-phàirtean sin mar as trice ach am frèam, agus is e sin as coireach gun robh Sgrùdadh Dependency air a mheas mar so-leòntachd.
Tha an aon suidheachadh ann le spring-tx: 3.0.5, agus suidheachadh coltach ris le struts-core: 1.3.8. Airson struts-core, tha Sgrùdadh eisimeileachd agus Slighe an eisimeil air mòran so-leòntachd a lorg a tha dha-rìribh a’ buntainn ri struts2-core, a tha gu ìre mhòr na fhrèam air leth. Anns a 'chùis seo, thuig Nexus IQ an dealbh gu ceart agus anns na CVEn a chuir e a-mach, chomharraich e gu robh struts-core air deireadh beatha a ruighinn agus bha e riatanach gluasad gu struts2-core.
No.6
Ann an cuid de shuidheachaidhean, tha e mì-chothromach a bhith a’ mìneachadh mearachd follaiseach Sgrùdadh eisimeileachd agus Rian an eisimeil. Gu sònraichte CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225, a tha an urra ri Sgrùdadh eisimeileachd air a chur às leth spring-core: buinidh 3.0.5 dha spring-web: 3.0.5. Aig an aon àm, chaidh cuid de na CVEn sin a lorg cuideachd le Nexus IQ, ge-tà, chomharraich IQ iad gu ceart gu co-phàirt eile. Leis nach deach na so-leòntachd sin a lorg ann an cridhe an earraich, chan urrainnear a ràdh nach eil iad san fhrèam ann am prionnsapal agus bha innealan stòr fosgailte gu ceart a’ comharrachadh na so-leòntachd sin (bha iad dìreach ag ionndrainn beagan).
toraidhean
Mar a chì sinn, chan eil a bhith a’ dearbhadh earbsachd so-leòntachd comharraichte le ath-sgrùdadh làimhe a’ toirt seachad toraidhean gun teagamh, agus is e sin as coireach gu bheil cùisean connspaideach ag èirigh. Is e na toraidhean gu bheil an ìre dearbhaidh meallta as ìsle agus an cruinneas as àirde aig fuasgladh Nexus IQ.
An toiseach, tha seo mar thoradh air gun do leudaich sgioba Sonatype an tuairisgeul airson gach so-leòntachd CVE bho NVD anns na stòran-dàta aca, a’ nochdadh so-leòntachd airson dreach sònraichte de na pàirtean sìos don chlas no don ghnìomh, a’ dèanamh rannsachadh a bharrachd (mar eisimpleir , a’ sgrùdadh so-leòntachd air dreachan bathar-bog nas sine).
Tha buaidh chudromach air na toraidhean cuideachd air a chluich leis na so-leòntachd sin nach deach a ghabhail a-steach ann an NVD, ach a tha fhathast an làthair anns an stòr-dàta Sonatype leis a ’chomharra SONATYPE. A rèir na h-aithisg Chan eil NVD ag aithris gu bheil 45% de chugallachd stòr fosgailte a chaidh a lorg. A rèir stòr-dàta WhiteSource, cha deach ach 29% de na so-leòntachd stòr fosgailte a chaidh aithris taobh a-muigh NVD fhoillseachadh an sin, agus is e sin as coireach gu bheil e cudromach coimhead airson so-leòntachd ann an stòran eile cuideachd.
Mar thoradh air an sin, bidh Sgrùdadh Dependency a’ toirt a-mach tòrr fuaim, ag ionndrainn cuid de cho-phàirtean so-leònte. Bidh Dependency Track a’ toirt a-mach nas lugha de dh’ fhuaim agus a’ lorg àireamh mhòr de cho-phàirtean, nach bi a’ goirteachadh na sùilean san eadar-aghaidh lìn gu fradharcach.
Ach, tha cleachdadh a’ sealltainn gum bu chòir stòr fosgailte a bhith mar a’ chiad cheumannan a dh’ ionnsaigh DevSecOps aibidh. Is e a’ chiad rud air am bu chòir dhut smaoineachadh nuair a tha thu ag amalachadh SCA a-steach do leasachadh pròiseasan, is e sin, a bhith a’ smaoineachadh còmhla ri roinnean riaghlaidh agus roinnean co-cheangailte mu cò ris a bu chòir na pròiseasan air leth a bhith coltach sa bhuidheann agad. Is dòcha gum bi e a’ tionndadh a-mach airson na buidhne agad, an toiseach, gum bi Sgrùdadh Eisimeileachd no Slighe eisimeileachd a’ còmhdach na feumalachdan gnìomhachais gu lèir, agus gum bi fuasglaidhean Iomairt nan leantalachd loidsigeach air sgàth cho iom-fhillte ‘s a tha na tagraidhean a thathar a’ leasachadh.
Pàipear-taice A: Toraidhean Co-phàirteach
Sgeulachd:
- So-leòntachd àrd-ìre agus èiginneach anns a’ phàirt
- Meadhanach - So-leòntachd ìre meadhanach èiginneach anns a’ phàirt
- TRUE - Fìor chùis adhartach
- FALSE - Cùis adhartach meallta
Component
Nexus IQ
Sgrùdadh eisimeileachd
Rian an eisimeil
thoradh air
dachaigh 4j: 1.6.1
Àrd
Àrd
Àrd
CEART
log4j-bunaiteach: 2.3
Àrd
Àrd
Àrd
CEART
log4j: 1.2.14
Àrd
Àrd
-
CEART
cruinneachaidhean cumanta: 3.1
Àrd
Àrd
Àrd
CEART
commons-luchdachadh suas faidhle: 1.3.2
Àrd
Àrd
Àrd
CEART
commons-beanutils: 1.7.0
Àrd
Àrd
Àrd
CEART
Codec: 1:10
tro Mheadhan na
-
-
CEART
mysql-connector-java: 5.1.42
Àrd
Àrd
Àrd
CEART
abairt-earrach: 3.0.5
Àrd
cha deach co-phàirt a lorg
CEART
lìn an earraich: 3.0.5
Àrd
cha deach co-phàirt a lorg
Àrd
CEART
earrach-co-theacsa: 3.0.5
tro Mheadhan na
cha deach co-phàirt a lorg
-
CEART
cridhe an earraich: 3.0.5
tro Mheadhan na
Àrd
Àrd
CEART
struts2-config-browser-plugin: 2.3.30
tro Mheadhan na
-
-
CEART
earrach-tx:3.0.5
-
Àrd
-
CEÀRR
struts-core: 1.3.8
Àrd
Àrd
Àrd
CEART
xwork-core: 2.3.30
Àrd
-
-
CEART
struts2-cridhe: 2.3.30
Àrd
Àrd
Àrd
CEART
struts-taglib: 1.3.8
-
Àrd
-
CEÀRR
stiallan-leacan-1.3.8
-
Àrd
-
CEÀRR
Pàipear-taice B: Toraidhean So-leòntachd
Sgeulachd:
- So-leòntachd àrd-ìre agus èiginneach anns a’ phàirt
- Meadhanach - So-leòntachd ìre meadhanach èiginneach anns a’ phàirt
- TRUE - Fìor chùis adhartach
- FALSE - Cùis adhartach meallta
Component
Nexus IQ
Sgrùdadh eisimeileachd
Rian an eisimeil
Èiginneachd Air leth
thoradh air
beachd
dachaigh 4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
Àrd
CEART
CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
Àrd
CEART
log4j-bunaiteach: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
Àrd
CEART
CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
Ìosal
CEART
log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
Àrd
CEART
-
CVE-2020-9488
-
Ìosal
CEART
SONATYPE-2010-0053
-
-
Àrd
CEART
cruinneachaidhean cumanta: 3.1
-
CVE-2015-6420
CVE-2015-6420
Àrd
CEÀRR
A’ dùblachadh RCE(OSSINDEX)
-
CVE-2017-15708
CVE-2017-15708
Àrd
CEÀRR
A’ dùblachadh RCE(OSSINDEX)
SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
Àrd
CEART
commons-luchdachadh suas faidhle: 1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
Àrd
CEART
SONATYPE-2014-0173
-
-
tro Mheadhan na
CEART
commons-beanutils: 1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
Àrd
CEART
-
CVE-2019-10086
CVE-2019-10086
Àrd
CEÀRR
Chan eil an so-leòntachd a’ buntainn ach ri dreachan 1.9.2+
Codec: 1:10
SONATYPE-2012-0050
-
-
tro Mheadhan na
CEART
mysql-connector-java: 5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
Àrd
CEART
CVE-2019-2692
CVE-2019-2692
-
tro Mheadhan na
CEART
-
CVE-2020-2875
-
tro Mheadhan na
CEÀRR
An aon so-leòntachd ri CVE-2019-2692, ach leis an nota “faodaidh ionnsaighean buaidh mhòr a thoirt air toraidhean a bharrachd”
-
CVE-2017-15945
-
Àrd
CEÀRR
Gun a bhith buntainneach ri mysql-connector-java
-
CVE-2020-2933
-
Ìosal
CEÀRR
Dùblachadh de CVE-2020-2934
CVE-2020-2934
CVE-2020-2934
-
tro Mheadhan na
CEART
abairt-earrach: 3.0.5
CVE-2018-1270
cha deach co-phàirt a lorg
-
Àrd
CEART
CVE-2018-1257
-
-
tro Mheadhan na
CEART
lìn an earraich: 3.0.5
CVE-2016-1000027
cha deach co-phàirt a lorg
-
Àrd
CEART
CVE-2014-0225
-
CVE-2014-0225
Àrd
CEART
CVE-2011-2730
-
-
Àrd
CEART
-
-
CVE-2013-4152
tro Mheadhan na
CEART
CVE-2018-1272
-
-
Àrd
CEART
CVE-2020-5398
-
-
Àrd
CEART
Eisimpleir mìneachaidh airson fàbhar IQ: “Fhuair sgioba sgrùdaidh tèarainteachd Sonatype a-mach gun deach an so-leòntachd seo a thoirt a-steach ann an dreach 3.0.2.RELEASE agus chan e 5.0.x mar a chaidh a ràdh sa chomhairle.”
CVE-2013-6429
-
-
tro Mheadhan na
CEART
CVE-2014-0054
-
CVE-2014-0054
tro Mheadhan na
CEART
CVE-2013-6430
-
-
tro Mheadhan na
CEART
earrach-co-theacsa: 3.0.5
CVE-2011-2894
cha deach co-phàirt a lorg
-
tro Mheadhan na
CEART
cridhe an earraich: 3.0.5
-
CVE-2011-2730
CVE-2011-2730
Àrd
CEART
CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
tro Mheadhan na
CEART
-
-
CVE-2013-4152
tro Mheadhan na
CEÀRR
Dùblachadh den aon so-leòntachd ann an lìon an earraich
-
CVE-2013-4152
-
tro Mheadhan na
CEÀRR
Tha an so-leòntachd co-cheangailte ris a’ phàirt lìn earraich
-
CVE-2013-6429
CVE-2013-6429
tro Mheadhan na
CEÀRR
Tha an so-leòntachd co-cheangailte ris a’ phàirt lìn earraich
-
CVE-2013-6430
-
tro Mheadhan na
CEÀRR
Tha an so-leòntachd co-cheangailte ris a’ phàirt lìn earraich
-
CVE-2013-7315
CVE-2013-7315
tro Mheadhan na
CEÀRR
SPLIT bho CVE-2013-4152. + Tha an so-leòntachd co-cheangailte ris a’ phàirt lìn earraich
-
CVE-2014-0054
CVE-2014-0054
tro Mheadhan na
CEÀRR
Tha an so-leòntachd co-cheangailte ris a’ phàirt lìn earraich
-
CVE-2014-0225
-
Àrd
CEÀRR
Tha an so-leòntachd co-cheangailte ris a’ phàirt lìn earraich
-
-
CVE-2014-0225
Àrd
CEÀRR
Dùblachadh den aon so-leòntachd ann an lìon an earraich
-
CVE-2014-1904
CVE-2014-1904
tro Mheadhan na
CEÀRR
Tha an so-leòntachd co-cheangailte ris a’ phàirt spring-web-mvc
-
CVE-2014-3625
CVE-2014-3625
tro Mheadhan na
CEÀRR
Tha an so-leòntachd co-cheangailte ris a’ phàirt spring-web-mvc
-
CVE-2016-9878
CVE-2016-9878
Àrd
CEÀRR
Tha an so-leòntachd co-cheangailte ris a’ phàirt spring-web-mvc
-
CVE-2018-1270
CVE-2018-1270
Àrd
CEÀRR
Airson teachdaireachdan earraich / earrach
-
CVE-2018-1271
CVE-2018-1271
tro Mheadhan na
CEÀRR
Tha an so-leòntachd co-cheangailte ris a’ phàirt spring-web-mvc
-
CVE-2018-1272
CVE-2018-1272
Àrd
CEART
CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
tro Mheadhan na
CEART
SONATYPE-2015-0327
-
-
Ìosal
CEART
struts2-config-browser-plugin: 2.3.30
SONATYPE-2016-0104
-
-
tro Mheadhan na
CEART
earrach-tx:3.0.5
-
CVE-2011-2730
-
Àrd
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2011-2894
-
Àrd
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2013-4152
-
tro Mheadhan na
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2013-6429
-
tro Mheadhan na
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2013-6430
-
tro Mheadhan na
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2013-7315
-
tro Mheadhan na
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2014-0054
-
tro Mheadhan na
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2014-0225
-
Àrd
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2014-1904
-
tro Mheadhan na
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2014-3625
-
tro Mheadhan na
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2016-9878
-
Àrd
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2018-1270
-
Àrd
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2018-1271
-
tro Mheadhan na
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
-
CVE-2018-1272
-
tro Mheadhan na
CEÀRR
Chan eil an so-leòntachd sònraichte do spring-tx
struts-core: 1.3.8
-
CVE-2011-5057 (OSSINDEX)
tro Mheadhan na
FASLE
So-leòntachd gu Struts 2
-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
Àrd
CEÀRR
So-leòntachd gu Struts 2
-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
tro Mheadhan na
CEÀRR
So-leòntachd gu Struts 2
-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
Àrd
CEÀRR
So-leòntachd gu Struts 2
CVE-2016-1182
3VE-2016-1182
-
Àrd
CEART
-
-
CVE-2011-5057
tro Mheadhan na
CEÀRR
So-leòntachd gu Struts 2
-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
Àrd
CEÀRR
So-leòntachd gu Struts 2
-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
tro Mheadhan na
CEÀRR
So-leòntachd gu Struts 2
CVE-2015-0899
CVE-2015-0899
-
Àrd
CEART
-
CVE-2012-0394
CVE-2012-0394
tro Mheadhan na
CEÀRR
So-leòntachd gu Struts 2
-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
Àrd
CEÀRR
So-leòntachd gu Struts 2
-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
Àrd
CEÀRR
So-leòntachd gu Struts 2
-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
Àrd
FASLE
So-leòntachd gu Struts 2
-
CVE-2013-2115
CVE-2013-2115
Àrd
FASLE
So-leòntachd gu Struts 2
-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
Àrd
FASLE
So-leòntachd gu Struts 2
-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
Àrd
FASLE
So-leòntachd gu Struts 2
CVE-2014-0114
CVE-2014-0114
-
Àrd
CEART
-
CVE-2015-2992
CVE-2015-2992
tro Mheadhan na
CEÀRR
So-leòntachd gu Struts 2
-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
Àrd
CEÀRR
So-leòntachd gu Struts 2
CVE-2016-1181
CVE-2016-1181
-
Àrd
CEART
-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
Àrd
CEÀRR
So-leòntachd gu Struts 2
xwork-core: 2.3.30
CVE-2017-9804
-
-
Àrd
CEART
SONATYPE-2017-0173
-
-
Àrd
CEART
CVE-2017-7672
-
-
Àrd
CEÀRR
Dùblachadh de CVE-2017-9804
SONATYPE-2016-0127
-
-
Àrd
CEART
struthan2-cridhe: 2.3.30
-
CVE-2016-6795
CVE-2016-6795
Àrd
CEART
-
CVE-2017-9787
CVE-2017-9787
Àrd
CEART
-
CVE-2017-9791
CVE-2017-9791
Àrd
CEART
-
CVE-2017-9793
-
Àrd
CEÀRR
Dùblachadh de CVE-2018-1327
-
CVE-2017-9804
-
Àrd
CEART
-
CVE-2017-9805
CVE-2017-9805
Àrd
CEART
CVE-2016-4003
-
-
tro Mheadhan na
CEÀRR
Co-cheangailte ri Apache Struts 2.x suas gu 2.3.28, is e sin dreach 2.3.30. Ach, stèidhichte air an tuairisgeul, tha an CVE dligheach airson dreach sam bith de Struts 2 ma thèid JRE 1.7 no nas lugha a chleachdadh. A rèir choltais chuir iad romhpa ar daingneachadh an seo, ach tha e a’ coimhead nas coltaiche ri FALSE
-
CVE-2018-1327
CVE-2018-1327
Àrd
CEART
CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
Àrd
CEART
An aon so-leòntachd a chleachd luchd-tarraing Equifax ann an 2017
CVE-2017-12611
CVE-2017-12611
-
Àrd
CEART
CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
Àrd
CEART
struts-taglib: 1.3.8
-
CVE-2012-0394
-
tro Mheadhan na
CEÀRR
Airson struts2-core
-
CVE-2013-2115
-
Àrd
CEÀRR
Airson struts2-core
-
CVE-2014-0114
-
Àrd
CEÀRR
Airson commons-beanutils
-
CVE-2015-0899
-
Àrd
CEÀRR
Chan eil e a’ buntainn ri taglib
-
CVE-2015-2992
-
tro Mheadhan na
CEÀRR
A’ toirt iomradh air struts2-core
-
CVE-2016-1181
-
Àrd
CEÀRR
Chan eil e a’ buntainn ri taglib
-
CVE-2016-1182
-
Àrd
CEÀRR
Chan eil e a’ buntainn ri taglib
stiallan-leacan-1.3.8
-
CVE-2012-0394
-
tro Mheadhan na
CEÀRR
Airson struts2-core
-
CVE-2013-2115
-
Àrd
CEÀRR
Airson struts2-core
-
CVE-2014-0114
-
Àrd
CEÀRR
Fo commons-beanutils
-
CVE-2015-0899
-
Àrd
CEÀRR
Chan eil e a 'buntainn ri leacan
-
CVE-2015-2992
-
tro Mheadhan na
CEÀRR
Airson struts2-core
-
CVE-2016-1181
-
Àrd
CEÀRR
Chan eil e a’ buntainn ri taglib
-
CVE-2016-1182
-
Àrd
CEÀRR
Chan eil e a’ buntainn ri taglib
Source: www.habr.com