ืืืฉืืืืช ืฉื ื ืืชืื ืจืืืื ืชืืื ื ืฉื ืฆื ืฉืืืฉื (Software Composition Analysis - SCA) ืืชืืืื ืืคืืชืื ืืืืจืช ืขื ืฉืืจืืจ ืืืืืช ืฉื ืชืืื ืขื ื ืงืืืืช ืืชืืจืคื ืฉื ืกืคืจืืืช ืงืื ืคืชืื, ืืืชืคืจืกืืื ืขื ืืื Synopsys, Sonatype, Snyk ื-White Source. . ืืคื ืืืชืื
ืืื ืืืงืจืื ืืืืืืฉืื ืืืืชืจ
ืืืืจ ืื ืืืื ืืกืืืืืช ืืืืจืช ืืื ืืืืฆืืข SCA ืื ืงืืืช ืืื ืฉื ืืืืืช ืชืืฆืืืช ืื ืืชืื. ืืื ืื, ืชืื ืชื ืืฉืืืื ืคืื ืงืฆืืื ืืืช ืฉื ืืืืื. ืชืืืื ืืืฉืชืืืืช ื-CI/CD ืืืืืืืช ืืืื ืืืจืฆืื ืืืืชืจ ืืคืจืกืืืื ืืืืื. ืืืืื ืจืื ืฉื ืืืื ืืืฆื ืขื ืืื OWASP
ืขืืงืจืื ืืคืขืืื
ืืืื ื ืกืชืื ืืื ื ืจืื CPE:
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other
- ืึตืึถืง: ืฆืืื ืฉืืจืืื ืืชืืืืก ืืืคืืืงืฆืื (ื), ืืขืจืืช ืืคืขืื (o), ืืืืจื (h) (ืืืื)
- ืกืคืง: ืฉื ืืฆืจื ืืืืฆืจ (ืืืื)
- ืืืฆืจ: ืฉื ืืืืฆืจ (ืืืื)
- ืึดืจึฐืกึธื: ืืจืกืช ืจืืื (ืคืจืื ืืืืฉื)
- ืขืืืื: ืขืืืื ืืืืื
- ืืืืืจื: ืืจืกื ืืืืจ ืงืืื (ืคืจืื ืฉืืืฆื ืืฉืืืืฉ)
- ืฉืคื: ืฉืคื ืืืืืจืช ื-RFC-5646
- ืืืืืจืช SW: ืืจืกืช ืชืืื ื
- ืืขื SW: ืกืืืืช ืชืืื ื ืื ืืืืฆืจ ืคืืขื
- ืืืขื HW: ืกืืืืช ืืืืืจื ืฉืื ืคืืขื ืืืืฆืจ
- ืึทืึตืจ: ืืืืข ืขื ืกืคืง ืื ืืืฆืจ
ืืืืื ื-CPE ื ืจืืืช ืื:
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
ืืฉืืจื ืืืืจืช ืฉ-CPE ืืจืกื 2.3 ืืชืืจืช โโืืช ืจืืื ืืืคืืืงืฆืื ืืืืฆืจื pivotal_software
ืขื ืืืืชืจืช spring_framework
ืืจืกื 3.0.0. ืื ื ืคืชื ืคืืืขืืช
ืืชืืืช ืืืชืจ ืืฉืืฉืช ืื ืืื SCA. ืคืืจืื ืืชืืืช ืืืชืจ ืฉื ืืืืืื ืืื ืืืืงืื:
scheme:type/namespace/name@version?qualifiers#subpath
- ืชึธืึฐื ึดืืช: ืชืืื ืืืื 'pkg' ืืืฆืืื ืฉืืืื ืืชืืืช ืืชืจ ืฉื ืืืืื (ืืืื)
- ืกืึผื: ื"ืกืื" ืฉื ืืืืืื ืื ื"ืคืจืืืืงืื" ืฉื ืืืืืื, ืืืื maven, npm, nuget, gem, pypi ืืื'. (ืคืจืื ืืืื)
- ืืจืื ืฉืืืช: ืงืืืืืช ืฉื ืืืฉืื, ืืืื ืืืื ืงืืืฆืชื ืฉื Maven, ืืขื ืชืืื ื ืฉื Docker, ืืฉืชืืฉ GitHub ืื ืืจืืื. ืืืคืฆืืื ืื ืืชืืื ืืกืื.
- ืฉืึตื: ืฉื ืืืืืื (ืืืื)
- ืึดืจึฐืกึธื: ืืจืกืช ืืืืืื
- ืืืงืืืืช: ื ืชืื ื ืืกืืื ื ืืกืคืื ืืืืืื, ืืืื ืืขืจืืช ืืคืขืื, ืืจืืืืงืืืจื, ืืคืฆื ืืื'. ืืืคืฆืืื ืื ืืกืคืฆืืคื ืืกืื.
- ื ืชืื ืืฉื ื: ื ืชืื ื ืืกืฃ ืืืืืื ืืืืก ืืฉืืจืฉ ืืืืืื
ืืืืืื:
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]
ืืืืื ืืืื ืขืฉืื ืืืืจืืืช BOM ืืคืืจืื XML:
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>
BOM ืืืื ืืฉืืฉ ืื ืจืง ืืคืจืืืจื ืงืื ืขืืืจ Dependency Track, ืืื ืื ืขืืืจ ืืืื ืฉื ืจืืืื ืชืืื ื ืืฉืจืฉืจืช ืืืกืคืงื, ืืืฉื, ืืืกืคืงืช ืชืืื ื ืืืงืื. ื-2014 ืืฃ ืืืฆืข ืืืง ืืืจืฆืืช ืืืจืืช
ืืฉืืืืจืื ื-SCA, ื-Dependency Track ืืฉ ืืื ืืืจืฆืืืช ืืืื ืืช ืขื ืคืืืคืืจืืืช ืืชืจืืืช ืืื Slack, ืืขืจืืืช ื ืืืื ืคืืืขืืช ืืื Kenna Security. ืืืื ืื ืืืืจ ืฉ-Dependency Track, ืืื ืืืชืจ, ืืืื ืืจืกืืืช ืืืืฉื ืืช ืฉื ืืืืืืช ืืืกืคืง ืืืืข ืขื ืจืืฉืืื ืืช (ืขืงื ืชืืืืช SPDX).
ืื ื ืืืจ ืกืคืฆืืคืืช ืขื ืืืืืช SCA, ืื ืืฉ ืืืื ืืืืชื.
ืืกืืื ืืชืืืช ืืื ื ืืงืื ืืช ืืคืจืืืงื ืืงืื, ืืื ืืช ื-BOM. ืื ืืืืจ ืฉืื ืื ืื ื ืจืืฆืื ืืืืืง ืืช ืืคืจืืืงื, ืื ืื ื ืฆืจืืืื ืงืืื ืื ืืืฆืืจ bom.xml, ืืืฉื ืืืืฆืขืืช CycloneDX. ืืคืืื, ืืกืืื ืืชืืืช ืชืืื ืืฉืืจืืช ื-CycloneDX. ืืื ืขื ืืืช, ืื ืืืคืฉืจ ืืชืืื ืืืฉืืช. ืื ืื ืฉืืชื ืฆืืืช OZON
ืืืื ื ืกืื ืืื ืืืชืืื ืืช ืืคืื ืงืฆืืื ืืืืช, ืื ืฉืงืื ืื ืืช ืืฉืคืืช ืื ืชืืืืช ืื ืืชืื:
ืฉืคื
Nexus IQ
ืืืืงืช ืชืืืช
ืืกืืื ืชืืืช
Java
+
+
+
C / C ++
+
+
-
C#
+
+
-
.ื ื
+
+
+
ืืจืื ื
-
-
+
JavaScript (NodeJS)
+
+
+
PHP
+
+
+
ืคืืชืื
+
+
+
ืืึนืึถื
+
+
+
ืคืจื
-
-
-
ืกืืื
+
+
+
ืืืจื C
+
+
-
ืกืืืืคื
+
+
-
R
+
-
-
Go
+
+
+
ืคืื ืงืฆืืื ืืืืช
ืคืื ืงืฆืืื ืืืืช
Nexus IQ
ืืืืงืช ืชืืืช
ืืกืืื ืชืืืช
ืืืืืืช ืืืืืื ืฉืจืืืืื ืืืฉืืฉืื ืืงืื ืืืงืืจ ื ืืืงืื ืขื ืืืืจ ืืืจืฉื
+
-
+
ืืืืืช ืกืจืืงื ืื ืืชืื ืฉื ืคืืืขืืืืช ืื ืืงืืื ืจืืฉืืื ืขืืืจ ืชืืื ืืช Docker
+ ืืื ืืืจืฆืื ืขื ืงืืืืจ
-
-
ืืืืืช ืืืืืืจ ืืืื ืืืช ืืืืื ืืฉืืืืฉ ืืกืคืจืืืช ืงืื ืคืชืื
+
-
-
ืืืืืช ืืกืจืืง ืืืืจื ืงืื ืคืชืื ืืืืชืืจ ืจืืืืื ืคืืืขืื
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ Hex, RubyGems, Maven, NPM, Nuget, Pypi
ืืืื ืืช ืฉื ืงืืืฆืช ืืืงืจ ืืชืืื
+
-
-
ืคืขืืืช ืืืืื ืกืืืจื
+
+
+
ืฉืืืืฉ ืืืืืจื ืืืืข ืฉื ืฆื ืฉืืืฉื
+ ืืกื ื ืชืื ืื ืกืืืจ ืฉื Sonatype
+ Sonatype OSS, NPM ืืืขืฆืื ืฆืืืืจืืื
+ Sonatype OSS, NPM Public Advisors, RetireJS, VulnDB, ืชืืืื ืืืกื ืื ืชืื ืื ืฉื ืคืืืขืืช ืืฉืื
ืืืืืช ืืกื ื ืจืืืื ืงืื ืคืชืื ืืขืช ื ืืกืืื ืืืขืื ืืืืืืช ืืคืืชืื ืขื ืคื ืืืื ืืืช ืืืืืจืช
+
-
-
ืืืืฆืืช ืืชืืงืื ื ืงืืืืช ืชืืจืคื, ืืืื ืืช ืงืืฉืืจืื ืืชืืงืื ืื
+
+- (ืชืืื ืืชืืืืจ ืืืืืจื ืืืืข ืฆืืืืจืืื)
+- (ืชืืื ืืชืืืืจ ืืืืืจื ืืืืข ืฆืืืืจืืื)
ืืืจืื ืฉื ืคืืืขืืืืช ืฉืืืื ืืคื ืืืืจื
+
+
+
ืืืื ืืืฉื ืืืืกืก ืชืคืงืืืื
+
-
+
ืชืืืืช CLI
+
+
+- (ืจืง ืขืืืจ CycloneDX)
ืืืืื/ืืืื ืฉื ื ืงืืืืช ืชืืจืคื ืืคื ืงืจืืืจืืื ืื ืืืืืจืื
+
-
+
ืืื ืืืืื ืื ืืคื ืกืืืืก ืืคืืืงืฆืื
+
-
+
ืืคืงืช ืืืืืช ืืคืืจืื PDF
+
-
-
ืืคืงืช ืืืืืช ืืคืืจืื JSONCSV
+
+
-
ืชืืืื ืืฉืคื ืืจืืกืืช
-
-
-
ืืืืืืช ืืื ืืืจืฆืื
ะะฝัะตะณัะฐัะธั
Nexus IQ
ืืืืงืช ืชืืืช
ืืกืืื ืชืืืช
ืฉืืืื LDAP/Active Directory
+
-
+
ืืื ืืืจืฆืื ืขื ืืขืจืืช ืืื ืืืจืฆืื ืจืฆืืคื Bamboo
+
-
-
ืืื ืืืจืฆืื ืขื ืืขืจืืช ืืื ืืืจืฆืื ืจืฆืืคื TeamCity
+
-
-
ืืื ืืืจืฆืื ืขื ืืขืจืืช ืืื ืืืจืฆืื ืจืฆืืคื GitLab
+
+- (ืืชืืกืฃ ืขืืืจ GitLab)
+
ืืื ืืืจืฆืื ืขื ืืขืจืืช ืืื ืืืจืฆืื ืจืฆืืคื Jenkins
+
+
+
ืืืื ืืช ืชืืกืคืื ืขืืืจ IDE
+ IntelliJ, Eclipse, Visual Studio
-
-
ืชืืืื ืืืื ืืืจืฆืื ืืืชืืืช ืืืฉืืช ืืืืฆืขืืช ืฉืืจืืชื ืืื ืืจื ื (API) ืฉื ืืืื
+
-
+
ืืืืงืช ืชืืืช
ืืชืืื ืจืืฉืื ื
ืืื ื ืจืืฅ ืืช ืืืืงืช ืืชืืืช ืืืืฉืื ืคืืืข ืืืืืื
ืืฉื ืื ื ืฉืชืืฉ
mvn org.owasp:dependency-check-maven:check
ืืชืืฆืื ืืื, dependency-check-report.html ืืืคืืข ืืกืคืจืืืช ืืืขื.
ืืืื ื ืคืชื ืืช ืืงืืืฅ. ืืืืจ ืืืืข ืืกืื ืขื ืืืกืคืจ ืืืืื ืฉื ืืคืืืขืืืืช, ื ืืื ืืจืืืช ืืืืข ืขื ืคืจืฆืืช ืขื ืจืื ืืืืื ืฉื ืืืืจื ืืืืืืื, ืืืฆืืื ืืช ืืืืืื, ื-CPE ืืืกืคืจ ื-CVEs.
ืืืืฉื ืืืืข ืืืืข ืืคืืจื ืืืชืจ, ืืืคืจื ืืืกืืก ืฉืขื ืคืื ืืชืงืืื ืืืืืื (ืจืืืืช), ืืืืืจ BOM ืืกืืืื.
ืืืืจ ืืื ืืืืข ืชืืืืจ CPE, PURL ื-CVE. ืืื, ืืืืฆืืช ืืชืืงืื ืืื ื ื ืืืืืช ืขืงื ืืืขืืจื ืืืืืจ NVD.
ืืื ืืืฆืื ืืืืคื ืฉืืืชื ืืช ืชืืฆืืืช ืืกืจืืงื, ืืชื ืืืื ืืืืืืจ ืืช Nginx ืขื ืืืืจืืช ืืื ืืืืืืช, ืื ืืฉืืื ืืช ืืคืืืื ืฉื ืืฆืจื ืืืขืจืืช ื ืืืื ืคืืืื ืืชืืืืช ืืืืืจืื ืืืืืงืช ืชืืืช. ืืืืืื, Defect Dojo.
ืืกืืื ืชืืืช
ืืชืงื ื
Dependency Track, ืืชืืจื, ืืื ืคืืืคืืจืื ืืืืกืกืช ืืื ืืจื ื ืขื ืืจืคื ืชืฆืืื, ืื ืฉืื ืืฉื ืืืืืฃ ืฉื ืืืกืื ืคืืืื ืืคืชืจืื ืฉื ืฆื ืฉืืืฉื ืื ืืชืขืืจืจ ืืื.
ืืกืงืจืืคืืื ืื ืชืืืื ืืืชืงื ื ืื: Docker, WAR, Executable WAR.
ืืชืืื ืจืืฉืื ื
ืื ื ืขืืืจืื ืืืชืืืช ื-URL ืฉื ืืฉืืจืืช ืืคืืขื. ืื ืื ื ื ืื ืกืื ืืจื admin/admin, ืืฉื ืื ืืช ืืื ืืกื ืืืกืืกืื ืืื ืืืืขืื ื-Dashboard. ืืืืจ ืืื ืฉื ืขืฉื ืืื ืืืฆืืจ ืคืจืืืงื ืขืืืจ ืืืฉืื ืืืืงื ื-Java ื ืืืช/ืคืจืืืงืืื โ ืฆืืจ ืคืจืืืงื . ืืืื ื ืืงื ืืช ื-DVJA ืืืืืื.
ืืืืืื ืฉืืกืืื ืชืืืช ืืืื ืืงืื ืจืง BOM ืืงืื, ืืฉ ืืืืืจ ืืช BOM ืื. ืืืื ื ื ืฆื
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom
ื ืงืื ืืช bom.xml ืื ืืขื ืืช ืืงืืืฅ ืืคืจืืืงื ืฉื ืืฆืจ DVJA โ ืชืืืช โ ืืขืืืช BOM.
ืืื ื ืขืืืจ ืื ืืืื โ ืื ืชืืื. ืื ื ืืืื ืื ืฉ-Internal Analyzer ืืืคืขื ืจืง, ืืืืื NVD. ืืืื ื ืืืจ ืื ืืช Sonatype OSS Index.
ืืคืืื, ืื ื ืืงืืืื ืืช ืืชืืื ื ืืืื ืขืืืจ ืืคืจืืืงื ืฉืื ื:
ืืื ืื ืืจืฉืืื ืชืืื ืืืฆืื ืคืืืขืืช ืืืช ืืืื ืขื Sonatype OSS:
ืืืืืื ืืขืืงืจืืช ืืืืชื ืฉืืกืืื ืืชืืืช ืืื ื ืืงืื ืืืชืจ ืืืืืช xml ืฉื ืืืืงืช ืชืืืช. ืืืจืกืืืช ืื ืชืืืืช ืืืืจืื ืืช ืฉื ืฉืืืื ืืืืงืช ืืชืืืช ืืื 1.0.0 - 4.0.2, ืืขืื ืืืงืชื ืืช 5.3.2.
ืืื
Nexus IQ
ืืชืืื ืจืืฉืื ื
ืืืชืงื ื ืฉื Nexus IQ ืืืืขื ืืืืจืืืื ืฉื
ืืืืจ ืืื ืืกื ืืืกืืฃ, ืขืืื ืืืฆืืจ ืืจืืื ืืืืฉืื.
ืืคื ืฉืืชื ืืืื ืืจืืืช, ืืืืืจื ืืืงืจื ืฉื IQ ืืื ืงืฆืช ืืืชืจ ืืกืืืืช, ืื ืื ืื ื ืฆืจืืืื ืื ืืืฆืืจ ืืืื ืืืช ืฉืืฉืืื ืขืืืจ "ืฉืืืื" ืฉืื ืื (ืคืืชืื, ืื ืืื, ืฉืื, ืฉืืจืืจ). ืื ืืืจืื ืืื ืืืกืื ืจืืืืื ืคืืืขืื ืืฉืื ืขืืืจืื ืืฆืื ืืจ ืงืจืื ืืืชืจ ืืืืฆืืจ, ืื ืืื ืืืกืื ืืืชื ืืจืืข ืฉืื ื ืื ืกืื ื-Nexus Repo ืืฉืื ืืืจืื ืขื ืืื ืืคืชืืื.
ืืื ืืืจืืืฉ ืืช ืืืืื ืืื ืงืื ืคืชืื ืืืจืืื, ืืืื ื ืืฆืข ืืช ืืืชื ืกืจืืงื ืืจื Nexus IQ ืืืืชื ืืืคื ืืจื dvja-test-and-compare
:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
ืขืงืื ืืืจ ืืชืืืช ืืืชืจ ืืืื ืฉื ืืฆืจ ืืืืฉืง ืืืื ืืจื ื ืฉื IQ:
ืืื ืืชื ืืืื ืืจืืืช ืืช ืื ืืคืจืืช ืืืืื ืืืช ืืืฆืืืขืืช ืขื ืจืืืช ืืฉืืขืืช ืฉืื ืืช (ืืืืืข ืืขื ืงืจืืื ืืืืื). ืืืืช D ืฉืืื ืืจืืื ืคืืจืืฉื ืฉืืจืืื ืืื ืชืืืช ืืฉืืจื, ืืืืืช T ืืื ืืจืืื ืคืืจืืฉื ืฉืืจืืื ืืื ืชืืืช ืืจื ืืืืืืืช, ืืืืืจ ืืจื ืืืืืืืช.
ืืื, ืืื"ื
ืื ื ืคืชื ืืช ืืืช ืืืคืจืืช ืืืืื ืืืช ืฉื Nexus IQ, ื ืืื ืืจืืืช ืชืืืืจ ืฉื ืืจืืื, ืืื ืื ืืจืฃ ืืจืกื, ืืืฆืื ืืช ืืืงืืื ืฉื ืืืจืกื ืื ืืืืืช ืืืจืฃ ืืืื, ืืื ืืืืื ื ืงืืื ืืคืืืขืืช ืืคืกืืงื ืืืืืช ืคืืืข. ืืืื ืื ืจืืช ืืืจืฃ ืืจืื ืืช ืืคืืคืืืจืืืช ืฉื ืืฉืืืืฉ ืืจืืื ืื.
ืื ืชืขืืืจ ืืกืขืืฃ ืืคืืืขืืช ืืชืจืืื ืืช ื-CVE, ืชืืื ืืงืจืื ืชืืืืจ ืฉื ืคืืืขืืช ืื, ืืืืฆืืช ืืืืืื, ืืื ืื ืืกืืื ืืื ืฉืืจืืื ืืื ืืืคืจ, ืืืืืจ ื ืืืืืช ืืืืืงื DiskFileitem.class
.
ืืืื ื ืกืื ืจืง ืืช ืืื ืืงืฉืืจืื ืืจืืืื Java ืฉื ืฆื ืฉืืืฉื, ืชืื ืืกืจืช ืจืืืื js. ืืกืืืจืืื ืื ื ืืฆืืื ืื ืืช ืืกืคืจ ืืคืืืขืืช ืฉื ืืฆืื ืืืืฅ ื-NVD.
ืกื Nexus IQ:
- ืชืืืช ืฉื ืกืจืงื: 62
- ืชืืืช ืคืืืขืืช: 16
- ืคืืืขืืืืช ืฉื ืืฆืื: 42 (8 ืกืื ืืืืืค db)
ืืืืงืช ืชืืืช ืืืืืช:
- ืชืืืช ืฉื ืกืจืงื: 47
- ืชืืืช ืคืืืขืืช: 13
- ืคืืืขืืืืช ืฉื ืืฆืื: 91 (14 ืกืื ืืืืืค oss)
ืืกืืื ืชืืืช ืืืืืืช:
- ืชืืืช ืฉื ืกืจืงื: 59
- ืชืืืช ืคืืืขืืช: 10
- ืคืืืขืืืืช ืฉื ืืฆืื: 51 (1 ืกืื ืืืืืค oss)
ืืฉืืืื ืืืืื ื ื ืชื ืืช ืืชืืฆืืืช ืฉืืชืงืืื ืื ืืื ืืืื ืืืืืืฉืืช ืืืื ืืื ืคืื ืืืืชื ืืืืื ืืืืืืช ืฉืืืื.
ืืชื ืืืชืืจ
ืกืงืืจื ืื ืืื ื ืืืช ืฉืืื ืขืืื ืขืืจืจืื. ืืืืืจ ืื ืืืืชื ืืืจื ืืืืืืฉ ืืืฉืืจ ื ืคืจื ืขื ืจืงืข ืืืจืื. ืืืจืช ืืกืงืืจื ืืืืชื ืืืจืืืช ืืช ืื ืื ืื ื ืืคืขืืื ืฉื ืืื SCA ืืืจืืื ืืืืืง ืืช ืชืืฆืืืชืืื.
ืืฉืืืื ืืื ืชืืฆืืืช
ืชื ืื ืฉืืืืฉ ืืืชืจ:
ืืืืื ืฉืืื ืขืืืจ ืคืืืขืืืืช ืฉื ืจืืืืื ืฉื ืฆื ืฉืืืฉื ืืื:
- ืื ืืชืืื ืฉื CVE ืืจืืื ืฉืืืื
- ืืืืืื, ืื ืืืืื ืคืืืขืืช ืืืกืืจืช struts2, ืืืืื ืืฆืืืข ืขื ืจืืื ืฉื struts-tiles framework, ืฉืขืืื ืคืืืขืืช ืื ืืื ื ืืื, ืืื ืืืืืจ ื-false positive
- ืื ืืชืืื ืฉื CVE ืืืจืกื ืืืืืื ืฉื ืืจืืื
- ืืืืืื, ืืคืืืขืืช ืงืฉืืจื ืืืจืกืช python > 3.5 ืืืืื ืืกืื ืืช ืืจืกื 2.7 ืืคืืืขื - ืืืื ืชืืฆืื ืฉืืืื, ืฉืื ืืืขืฉื ืืคืืืขืืช ืืื ืจืง ืขื ืขื ืฃ ืืืืฆืจ 3.x
- ืฉืืคืื CVE
- ืืืืืื, ืื ื-SCA ืืฆืืื CVE ืืืืคืฉืจ RCE, ืื ื-SCA ืืฆืืื CVE ืขืืืจ ืืืชื ืจืืื ืฉืื ืขื ืืืฆืจื Cisco ืืืืฉืคืขืื ืืืืชื RCE. ืืืงืจื ืื ืื ืืืื ืืืืื ืฉืืื.
- ืืืืืื, CVE ื ืืฆื ืืจืืื spring-web, ืืืืืจ ืืื SCA ืืฆืืืข ืขื ืืืชื CVE ืืจืืืืื ืืืจืื ืฉื Spring Framework, ืืขืื ืฉืCVE ืืื ืฉืื ืงืฉืจ ืืจืืืืื ืืืจืื. ืืืงืจื ืื ืื ืืืื ืืืืื ืฉืืื.
ืืืจืช ืืืืงืจ ืืืืชื ืคืจืืืงื ืืงืื ืืคืชืื DVJA. ืืืืงืจ ืืื ืจืง ืจืืืื Java (ืืื js).
ืชืืฆืืืช ืกืืืื
ื ืขืืืจ ืืฉืจ ืืชืืฆืืืช ืฉื ืกืงืืจื ืืื ืืช ืฉื ื ืงืืืืช ืชืืจืคื ืฉืืืื. ืืืื ืืืื ืขืืืจ ืื CVE ื ืืชื ืืืฆืื ืื ืกืคื.
ืชืืฆืืืช ืกืืืื ืขืืืจ ืื ืืคืืืขืืืืช:
ืคืจืืืจ
Nexus IQ
ืืืืงืช ืชืืืช
ืืกืืื ืชืืืช
ืกื"ื ืคืืืขืืืืช ืฉืืืื
42
91
51
ื ืงืืืืช ืชืืจืคื ืฉืืืื ืืฆืืจื ืฉืืืื (ืืืืื ืฉืืื)
2 (4.76%)
62 (68,13%)
29 (56.86%)
ืื ื ืืฆืื ืคืืืขืืืืช ืจืืืื ืืืืช (ืฉืืืื ืืืื)
10
20
27
ืกืืืื ืชืืฆืืืช ืืคื ืจืืื:
ืคืจืืืจ
Nexus IQ
ืืืืงืช ืชืืืช
ืืกืืื ืชืืืช
ืกื ืื ืืจืืืืื ืฉืืืื
62
47
59
ืกื ืืื ืจืืืืื ืคืืืขืื
16
13
10
ืจืืืืื ืคืืืขืื ืฉืืืื ืืืืคื ืฉืืื (ืืืืื ืฉืืื)
1
5
0
ืจืืืืื ืคืืืขืื ืฉืืืื ืืืืคื ืฉืืื (ืืืืื ืฉืืื)
0
6
6
ืืืื ื ืื ื ืืจืคืื ืืืืชืืื ืืื ืืืขืจืื ืืช ืืืืก ืืื ืืืืื ืฉืืื ืืฉืืืื ืืืื ืืืกืคืจ ืืืืื ืฉื ื ืงืืืืช ืชืืจืคื. ืจืืืืื ืืกืืื ืื ืืฆืืจื ืืืคืงืืช, ืืคืืืขืืช ืืืืืืืช ืืื ืืกืืื ืืช ืื ืืืช.
ืืฉื ืืฉืืืื, ืืืงืจ ืืืื ื ืขืจื ืขื ืืื ืฆืืืช Sonatype ืฉืืืง ืคืจืืืงื ืฉื 1531 ืจืืืืื ืืืืฆืขืืช OWASP Dependency Check. ืืคื ืฉืื ื ืืืืืื ืืจืืืช, ืืืืก ืืื ืจืขืฉ ืืชืืืืืช ื ืืื ืืช ืืืื ืืชืืฆืืืช ืฉืื ื.
ืืงืืจ:
ืืืื ื ืกืชืื ืขื ืืื CVEs ืืชืืฆืืืช ืืกืจืืงื ืฉืื ื ืืื ืืืืื ืืช ืืกืืื ืืชืืฆืืืช ืืื.
ืงืจื ืขืื
โ 1
ืืืื ื ืกืชืื ืชืืืื ืขื ืืื ื ืงืืืืช ืืขื ืืื ืืช ืขื Sonatype Nexus IQ.
Nexus IQ ืืฆืืืข ืขื ืืขืื ืขื ืื-ืกืจืืืืืืฆืื ืขื ืืืืืืช ืืืฆืข RCE ื-Spring Framework ืืกืคืจ ืคืขืืื. CVE-2016-1000027 ื-spring-web:3.0.5 ืืคืขื ืืจืืฉืื ื, ื-CVE-2011-2894 ื-spring-context:3.0.5 ื-spring-core:3.0.5. ืืืชืืื, ื ืจืื ืฉืืฉ ืืคืืืืช ืฉื ืคืืืขืืช ืขื ืคื ื ืืกืคืจ CVEs. ืื ืื ืืชื ืืกืชืื ืขื CVE-2016-1000027 ื-CVE-2011-2894 ืืืกื ืื ืชืื ืื ืฉื NVD, ื ืจืื ืฉืืื ืืจืืจ
ืจืืื
ืคืืืขืืช
spring-web:3.0.5
CVE-2016-1000027
ืืืื-ืืงืฉืจ:3.0.5
CVE-2011-2894
ืงืคืืฅ-ืืืืช:3.0.5
CVE-2011-2894
ืชืืืืจ
ืชืืืืจ
CVE-2011-2894 ืขืฆืื ืืคืืจืกื ืืืื. ืืืื RemoteInvocationSerializingExporter
ื-CVE-2011-2894, ืืคืืืขืืช ื ืฆืคืืช ื HttpInvokerServiceExporter
. ืื ืื ืฉ-Nexus IQ ืืืืจ ืื ื:
ืขื ืืืช, ืืื ืืืจ ืืื ื-NVD, ืืื ืืกืืื ืฉืืืืงืช ืชืืืช ืืืขืงื ืชืืืช ืืงืืืื ืื ืืื ืืื False negative.
ืื ืืืชืืืืจ ืฉื CVE-2011-2894 ื ืืชื ืืืืื ืฉืืคืืืขืืช ืืื ืงืืืืช ืื ืืืงืฉืจ spring-context:3.0.5 ืืื ื-spring-core:3.0.5. ืืืฉืืจ ืืื ื ืืชื ืืืฆืื ืืืืืจ ืฉื ืืืื ืฉืืฆื ืืช ืืคืืืขืืช ืืื.
โ 2
ืจืืื
ืคืืืขืืช
ืชืืฆืื
ืชืืืืืช2-ืืืื:2.3.30
CVE-2016-4003
ืฉืึถืงึถืจ
ืื ื ืืื ืืช ืืคืืืขืืช CVE-2016-4003, ื ืืื ืฉืืื ืชืืงื ื ืืืจืกื 2.3.28, ืขื ืืืช, Nexus IQ ืืืืืืช ืื ื ืขื ืื. ืืฉ ืืขืจื ืืชืืืืจ ืฉื ืืคืืืขืืช:
ืืืืืจ, ืืคืืืขืืช ืงืืืืช ืจืง ืืฉืืืื ืขื ืืจืกื ืืืืฉื ืช ืฉื ื-JRE, ืฉืขืืื ืืืืืื ืืืืืืจ ืืืชื ื. ืขื ืืืช, ืื ื ืจืืืื ืืืช ืืืืืื ืืืื, ืื ืื ืื ืืืจืืข ืืืืชืจ.
โ 3
ืจืืื
ืคืืืขืืช
ืชืืฆืื
xwork-core:2.3.30
CVE-2017-9804
ื ืืื
xwork-core:2.3.30
CVE-2017-7672
ืฉืึถืงึถืจ
ืื ื ืกืชืื ืขื ืืชืืืืจืื ืฉื CVE-2017-9804 ื-CVE-2017-7672, ื ืืื ืฉืืืขืื ืืื URLValidator class
, ืขื CVE-2017-9804 ืฉืืงืืจื ื-CVE-2017-7672. ืื ืืืืืช ืฉื ืืคืืืขืืช ืืฉื ืืื ืืื ื ื ืืฉืืช ืฉืื ืขืืืก ืฉืืืืฉื ืืืื ืืขืืืื ืฉืืืืจืชื ืขืืชื ื-High, ืื ืฉืื ื ืืืืืื ืืจืืืช ืื ืจืขืฉ ืืืืชืจ.
ืืกื ืืื, ืื ื ืืฆืื ืชืืฆืืืช ืืืืืืืช ืืืืืืช ืืืจืืช ืขืืืจ Nexus IQ.
โ 4
ืืฉ ืืื ืืืจืื ืฉืืืจืืื ื-IQ ืืืืื ืืคืชืจืื ืืช ืืืจืื.
ืจืืื
ืคืืืขืืช
ืชืืฆืื
spring-web:3.0.5
CVE-2020-5398
ื ืืื
ื-CVE ื-NVD ืืฆืืื ืฉืืื ืื ืจืง ืขื ืืจืกืืืช 5.2.x ืืคื ื 5.2.3, 5.1.x ืืคื ื 5.1.13, ืืืจืกืืืช 5.0.x ืืคื ื 5.0.16, ืขื ืืืช, ืื ื ืกืชืื ืขื ืชืืืืจ ื-CVE ื-Nexus IQ , ืื ื ืจืื ืืช ืืืืจืื ืืืืื:
ืืืืขืช ืกืืืื ืืืืขืฆืช: ืฆืืืช ืืืงืจ ืืืืืื ืฉื Sonatype ืืืื ืฉืคืืืขืืช ืื ืืืฆืื ืืืจืกื 3.0.2.RELEASE ืืื ื-5.0.x ืืคื ืฉืฆืืื ืืืืขืืฅ.
ืืืืจ ืืื, PoC ืขืืืจ ืคืืืขืืช ืื, ืืืฆืืื ืฉืืื ืงืืืืช ืืืจืกื 3.0.5.
ืฉืืืื ืืืื ื ืฉืื ืืืืืงืช ืชืืืช ืืืืขืงื ืชืืืช.
โ 5
ืืืื ื ืกืชืื ืขื ืืืืื ืืืื ืขืืืจ ืืืืงืช ืชืืืช ืืืกืืื ืชืืืช.
ืืืืงืช ืชืืืช ืืืืืช ืืื ืฉืืื ืืฉืงืคืช ืืช ืืืชื CVEs ืืืืื ืขื ืืืกืืจืช ืืืื ื- NVD ืขื ืืืชื ืจืืืืื ืฉ-CVEs ืืื ืืื ื ืืืื ืขืืืื. ืื ื ืืืข ื-CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182, ืืฉืจ ืชืืืืืช โ ื-struts-taglib:1.3.8 ื-struts-tiles-1.3.8. ืืจืืืืื ืืืื ืืื ืฉืื ืงืฉืจ ืืื ืฉืืชืืืจ ื-CVE - ืขืืืื ืืงืฉืืช, ืืืืืช ืขืืื ืืื'. ืื ื ืืืข ืืืขืืืื ืฉืื ืฉืืฉืืชืฃ ื-CVEs ืืืจืืืืื ืืืื ืืื ืจืง ืืืกืืจืช, ืืื ืืกืืื ืฉื-Dependency Check ืจืืชื ืืื ื ืงืืืช ืชืืจืคื.
ืืืชื ืืฆื ืืื ืขื spring-tx:3.0.5, ืืืฆื ืืืื ืขื struts-core:1.3.8. ืขืืืจ struts-core, Dependency Check ื-Dependency Track ืืฆืื ืืจืื ืคืืืขืืืืช ืฉืืชืืืืืช ืืืขืฉื ื- struts2-core, ืฉืืื ืืขืฆื ืืกืืจืช ื ืคืจืืช. ืืืงืจื ืื, Nexus IQ ืืืื ื ืืื ืืช ืืชืืื ื ืื-CVEs ืฉืืื ืืืฆืื, ืื ืืฆืืืข ืขื ืื ืฉ-Struts-core ืืืืข ืืกืืฃ ืืืืื ืืืื ืฆืืจื ืืขืืืจ ื-struts2-core.
โ 6
ืืืฆืืื ืืกืืืืื, ืื ืื ืืืื ืืคืจืฉ ืฉืืืื ืืจืืจื ืฉื ืืืืงืช ืชืืืช ืืืขืงื ืชืืืช. ืืคืจื CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225, ืืืื ืืขืงื ืชืืืช ืืืืืงืช ืชืืืช ืืืืืก ื-spring-core:3.0.5 ืฉืืื ืืืขืฉื ื-spring-web:3.0.5. ืืืงืืื, ืืืง ืื-CVEs ืืืื ื ืืฆืื ืื ืขื ืืื Nexus IQ, ืขื ืืืช, IQ ืืืื ืืืชื ืืฆืืจื ื ืืื ื ืืจืืื ืืืจ. ืืืืืื ืฉืคืืืขืืช ืืื ืื ื ืืฆืื ื-spring-core, ืื ื ืืชื ืืืขืื ืฉืื ืืื ื ืืืกืืจืช ืืขืงืจืื ืืช ืืืื ืงืื ืคืชืื ืืฆืืืขื ืืฆืืง ืขื ืืคืจืฆืืช ืืืื (ืื ืคืฉืื ืคืกืคืกื ืงืฆืช).
ืืืฆืืื
ืืคื ืฉืื ื ืืืืืื ืืจืืืช, ืงืืืขืช ืืืืืื ืืช ืฉื ื ืงืืืืช ืชืืจืคื ืฉืืืื ืขื ืืื ืกืงืืจื ืืื ืืช ืืื ื ื ืืชื ืช ืชืืฆืืืช ืื ืืฉืืขืืืช, ืืื ืืกืืื ืฉืืชืขืืจืจืืช ืกืืืืืช ืฉื ืืืืช ืืืืืืงืช. ืืชืืฆืืืช ืื ืฉืืคืชืจืื Nexus IQ ืืฉ ืืช ืฉืืขืืจ ืืืืื ืืฉืืื ืื ืืื ืืืืชืจ ืืืช ืืืืืง ืืืืื ืืืืชืจ.
ืงืืื ืื, ืื ื ืืืข ืืืขืืืื ืฉืฆืืืช Sonatype ืืจืืื ืืช ืืชืืืืจ ืขืืืจ ืื ืคืืืขืืช CVE ื-NVD ืืืกืืกื ืื ืชืื ืื ืฉืื, ืชืื ืฆืืื ืืคืืืขืืืืช ืขืืืจ ืืจืกื ืืกืืืืช ืฉื ืืจืืืืื ืขื ืืืืืงื ืื ืืคืื ืงืฆืื, ืืืืฆืข ืืืงืจ ื ืืกืฃ (ืืืฉื , ืืืืงืช ื ืงืืืืช ืชืืจืคื ืืืจืกืืืช ืชืืื ื ืืฉื ืืช ืืืชืจ).
ืืฉืคืขื ืืฉืืื ืขื ืืชืืฆืืืช ืืืคืขืืช ืื ืขื ืืื ืืืชื ื ืงืืืืช ืชืืจืคื ืฉืื ื ืืืื ื-NVD, ืื ืืื ืืืช ืงืืืืืช ืืืกื ืื ืชืื ืื ืฉื Sonatype ืขื ืกืืื SONATYPE. ืืคื ืืืชืื
ืืชืืฆืื ืืื, ืืืืงืช ืชืืืช ืืืืฆืจืช ืืจืื ืจืขืฉ, ืืืกืจืื ืืื ืจืืืืื ืคืืืขืื. Dependency Track ืืืืฆืจ ืคืืืช ืจืขืฉ ืืืืื ืืกืคืจ ืจื ืฉื ืจืืืืื, ืื ืฉืื ืคืืืข ืืืืชืืช ืืขืื ืืื ืืืืฉืง ืืืื ืืจื ื.
ืขื ืืืช, ืืชืจืืื ืืจืื ืฉืงืื ืคืชืื ืฆืจืื ืืืคืื ืืฆืขืืื ืืจืืฉืื ืื ืืงืจืืช DevSecOps ืืืืจ. ืืืืจ ืืจืืฉืื ืฉืขืืื ืืืฉืื ืขืืื ืืขืช ืฉืืืื SCA ืืคืืชืื ืืื ืชืืืืืื, ืืืืืจ, ืืฉืืื ืืฉืืชืคืช ืขื ืืื ืืื ืืืืืืงืืช ืืงืฉืืจืืช ืืืื ืืื ืชืืืืืื ืืืืืืืืื ืฆืจืืืื ืืืืจืืืช ืืืจืืื ืฉืื. ืืืื ืืืืืช ืฉืขืืืจ ืืืจืืื ืฉืื, ืืืชืืื, Dependency Check ืื Dependency Track ืืืกื ืืช ืื ืืฆืจืืื ืืขืกืงืืื, ืืคืชืจืื ืืช Enterprise ืืืื ืืืฉื ืืืืื ื ืืฉื ืืืืจืืืืช ืืืืืืช ืืืืืจืช ืฉื ืืืคืืืงืฆืืืช ืืืคืืชืืืช.
ื ืกืคื ื': ืชืืฆืืืช ืจืืืืื
ืกืืืื:
- ืคืืืขืืืืช ืืจืื ืืืืื-ืืืืื ืืงืจืืืืช ืืจืืื
- ืืื ืื ื - ืคืืืขืืืืช ืืจืืช ืงืจืืืืืช ืืื ืื ืืช ืืจืืื
- TRUE - ื ืืฉื ืืืืื ืืืืชื
- FALSE - ื ืืฉื ืืืืื ืืืื
ืจืืื
Nexus IQ
ืืืืงืช ืชืืืช
ืืกืืื ืชืืืช
ืชืืฆืื
dom4j: 1.6.1
ืึธืืึนืึท
ืึธืืึนืึท
ืึธืืึนืึท
ื ืืื
log4j-core: 2.3
ืึธืืึนืึท
ืึธืืึนืึท
ืึธืืึนืึท
ื ืืื
log4j: 1.2.14
ืึธืืึนืึท
ืึธืืึนืึท
-
ื ืืื
ืืืกืคืื-ืืฉืืชืฃ:3.1
ืึธืืึนืึท
ืึธืืึนืึท
ืึธืืึนืึท
ื ืืื
commons-fileupload:1.3.2
ืึธืืึนืึท
ืึธืืึนืึท
ืึธืืึนืึท
ื ืืื
commons-beanutils:1.7.0
ืึธืืึนืึท
ืึธืืึนืึท
ืึธืืึนืึท
ื ืืื
commons-codec:1:10
ืืื ืื ื
-
-
ื ืืื
mysql-connector-java:5.1.42
ืึธืืึนืึท
ืึธืืึนืึท
ืึธืืึนืึท
ื ืืื
ืงืคืืฅ-ืืืืื:3.0.5
ืึธืืึนืึท
ืืจืืื ืื ื ืืฆื
ื ืืื
spring-web:3.0.5
ืึธืืึนืึท
ืืจืืื ืื ื ืืฆื
ืึธืืึนืึท
ื ืืื
ืืืื-ืืงืฉืจ:3.0.5
ืืื ืื ื
ืืจืืื ืื ื ืืฆื
-
ื ืืื
ืงืคืืฅ-ืืืืช:3.0.5
ืืื ืื ื
ืึธืืึนืึท
ืึธืืึนืึท
ื ืืื
struts2-config-browser-plugin:2.3.30
ืืื ืื ื
-
-
ื ืืื
spring-tx:3.0.5
-
ืึธืืึนืึท
-
ืฉืึถืงึถืจ
ืชืืืืืช-ืืืืช:1.3.8
ืึธืืึนืึท
ืึธืืึนืึท
ืึธืืึนืึท
ื ืืื
xwork-core: 2.3.30
ืึธืืึนืึท
-
-
ื ืืื
ืชืืืืืช2-ืืืืช: 2.3.30
ืึธืืึนืึท
ืึธืืึนืึท
ืึธืืึนืึท
ื ืืื
struts-taglib:1.3.8
-
ืึธืืึนืึท
-
ืฉืึถืงึถืจ
ืชืืืืืช-ืืจืืืื-1.3.8
-
ืึธืืึนืึท
-
ืฉืึถืงึถืจ
ื ืกืคื ื': ืชืืฆืืืช ืคืืืขืืช
ืกืืืื:
- ืคืืืขืืืืช ืืจืื ืืืืื-ืืืืื ืืงืจืืืืช ืืจืืื
- ืืื ืื ื - ืคืืืขืืืืช ืืจืืช ืงืจืืืืืช ืืื ืื ืืช ืืจืืื
- TRUE - ื ืืฉื ืืืืื ืืืืชื
- FALSE - ื ืืฉื ืืืืื ืืืื
ืจืืื
Nexus IQ
ืืืืงืช ืชืืืช
ืืกืืื ืชืืืช
ืืืืจื
ืชืืฆืื
ืืขืจื
dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
ืึธืืึนืึท
ื ืืื
CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
ืึธืืึนืึท
ื ืืื
log4j-core: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
ืึธืืึนืึท
ื ืืื
CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
ื ืืื
ื ืืื
log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
ืึธืืึนืึท
ื ืืื
-
CVE-2020-9488
-
ื ืืื
ื ืืื
SONATYPE-2010-0053
-
-
ืึธืืึนืึท
ื ืืื
ืืืกืคืื-ืืฉืืชืฃ:3.1
-
CVE-2015-6420
CVE-2015-6420
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืฉืืคืื RCE(OSSINDEX)
-
CVE-2017-15708
CVE-2017-15708
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืฉืืคืื RCE(OSSINDEX)
SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
ืึธืืึนืึท
ื ืืื
commons-fileupload:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
ืึธืืึนืึท
ื ืืื
SONATYPE-2014-0173
-
-
ืืื ืื ื
ื ืืื
commons-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
ืึธืืึนืึท
ื ืืื
-
CVE-2019-10086
CVE-2019-10086
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ืจืง ืขื ืืจืกืืืช 1.9.2+
commons-codec:1:10
SONATYPE-2012-0050
-
-
ืืื ืื ื
ื ืืื
mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
ืึธืืึนืึท
ื ืืื
CVE-2019-2692
CVE-2019-2692
-
ืืื ืื ื
ื ืืื
-
CVE-2020-2875
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืืชื ื ืงืืืช ืชืืจืคื ืืื CVE-2019-2692, ืื ืขื ืืืขืจื "ืืชืงืคืืช ืขืฉืืืืช ืืืฉืคืืข ืืืืคื ืืฉืืขืืชื ืขื ืืืฆืจืื ื ืืกืคืื"
-
CVE-2017-15945
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืื ืจืืืื ืื ื-mysql-connector-java
-
CVE-2020-2933
-
ื ืืื
ืฉืึถืงึถืจ
ืฉืืคืื ืฉื CVE-2020-2934
CVE-2020-2934
CVE-2020-2934
-
ืืื ืื ื
ื ืืื
ืงืคืืฅ-ืืืืื:3.0.5
CVE-2018-1270
ืืจืืื ืื ื ืืฆื
-
ืึธืืึนืึท
ื ืืื
CVE-2018-1257
-
-
ืืื ืื ื
ื ืืื
spring-web:3.0.5
CVE-2016-1000027
ืืจืืื ืื ื ืืฆื
-
ืึธืืึนืึท
ื ืืื
CVE-2014-0225
-
CVE-2014-0225
ืึธืืึนืึท
ื ืืื
CVE-2011-2730
-
-
ืึธืืึนืึท
ื ืืื
-
-
CVE-2013-4152
ืืื ืื ื
ื ืืื
CVE-2018-1272
-
-
ืึธืืึนืึท
ื ืืื
CVE-2020-5398
-
-
ืึธืืึนืึท
ื ืืื
ืืืืื ืืืืืฉื ืืืืืช IQ: "ืฆืืืช ืืืงืจ ืืืืืื ืฉื Sonatype ืืืื ืฉืืคืืืขืืช ืืื ืืืฆืื ืืืจืกื 3.0.2.RELEASE ืืื ื-5.0.x ืืคื ืฉืฆืืื ืืืืขืืฅ."
CVE-2013-6429
-
-
ืืื ืื ื
ื ืืื
CVE-2014-0054
-
CVE-2014-0054
ืืื ืื ื
ื ืืื
CVE-2013-6430
-
-
ืืื ืื ื
ื ืืื
ืืืื-ืืงืฉืจ:3.0.5
CVE-2011-2894
ืืจืืื ืื ื ืืฆื
-
ืืื ืื ื
ื ืืื
ืงืคืืฅ-ืืืืช:3.0.5
-
CVE-2011-2730
CVE-2011-2730
ืึธืืึนืึท
ื ืืื
CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
ืืื ืื ื
ื ืืื
-
-
CVE-2013-4152
ืืื ืื ื
ืฉืึถืงึถืจ
ืฉืืคืื ืฉื ืืืชื ืคืืืขืืช ื-spring-web
-
CVE-2013-4152
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืชืืืืกืช ืืจืืื spring-web
-
CVE-2013-6429
CVE-2013-6429
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืชืืืืกืช ืืจืืื spring-web
-
CVE-2013-6430
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืชืืืืกืช ืืจืืื spring-web
-
CVE-2013-7315
CVE-2013-7315
ืืื ืื ื
ืฉืึถืงึถืจ
SPLIT ื-CVE-2013-4152. + ืืคืืืขืืช ืืชืืืืกืช ืืจืืื spring-web
-
CVE-2014-0054
CVE-2014-0054
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืชืืืืกืช ืืจืืื spring-web
-
CVE-2014-0225
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืชืืืืกืช ืืจืืื spring-web
-
-
CVE-2014-0225
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืฉืืคืื ืฉื ืืืชื ืคืืืขืืช ื-spring-web
-
CVE-2014-1904
CVE-2014-1904
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืชืืืืกืช ืืจืืื spring-web-mvc
-
CVE-2014-3625
CVE-2014-3625
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืชืืืืกืช ืืจืืื spring-web-mvc
-
CVE-2016-9878
CVE-2016-9878
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืชืืืืกืช ืืจืืื spring-web-mvc
-
CVE-2018-1270
CVE-2018-1270
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืืืื-ืืืืื/ืืืื-ืืืืขืืช
-
CVE-2018-1271
CVE-2018-1271
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืชืืืืกืช ืืจืืื spring-web-mvc
-
CVE-2018-1272
CVE-2018-1272
ืึธืืึนืึท
ื ืืื
CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
ืืื ืื ื
ื ืืื
SONATYPE-2015-0327
-
-
ื ืืื
ื ืืื
struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
ืืื ืื ื
ื ืืื
spring-tx:3.0.5
-
CVE-2011-2730
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2011-2894
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2013-4152
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2013-6429
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2013-6430
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2013-7315
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2014-0054
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2014-0225
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2014-1904
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2014-3625
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2016-9878
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2018-1270
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2018-1271
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
-
CVE-2018-1272
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืคืืืขืืช ืืื ื ืกืคืฆืืคืืช ื-spring-tx
ืชืืืืืช-ืืืืช:1.3.8
-
CVE-2011-5057 (OSSINDEX)
ืืื ืื ื
FASLE
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
ืืื ืื ื
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
CVE-2016-1182
3VE-2016-1182
-
ืึธืืึนืึท
ื ืืื
-
-
CVE-2011-5057
ืืื ืื ื
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
ืืื ืื ื
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
CVE-2015-0899
CVE-2015-0899
-
ืึธืืึนืึท
ื ืืื
-
CVE-2012-0394
CVE-2012-0394
ืืื ืื ื
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
ืึธืืึนืึท
FASLE
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2013-2115
CVE-2013-2115
ืึธืืึนืึท
FASLE
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
ืึธืืึนืึท
FASLE
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
ืึธืืึนืึท
FASLE
ืคืืืขืืช ืืชืืืืืช 2
CVE-2014-0114
CVE-2014-0114
-
ืึธืืึนืึท
ื ืืื
-
CVE-2015-2992
CVE-2015-2992
ืืื ืื ื
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
CVE-2016-1181
CVE-2016-1181
-
ืึธืืึนืึท
ื ืืื
-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืคืืืขืืช ืืชืืืืืช 2
xwork-core:2.3.30
CVE-2017-9804
-
-
ืึธืืึนืึท
ื ืืื
SONATYPE-2017-0173
-
-
ืึธืืึนืึท
ื ืืื
CVE-2017-7672
-
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืฉืืคืื ืฉื CVE-2017-9804
SONATYPE-2016-0127
-
-
ืึธืืึนืึท
ื ืืื
ืชืืืืืช2-ืืืื:2.3.30
-
CVE-2016-6795
CVE-2016-6795
ืึธืืึนืึท
ื ืืื
-
CVE-2017-9787
CVE-2017-9787
ืึธืืึนืึท
ื ืืื
-
CVE-2017-9791
CVE-2017-9791
ืึธืืึนืึท
ื ืืื
-
CVE-2017-9793
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืฉืืคืื ืฉื CVE-2018-1327
-
CVE-2017-9804
-
ืึธืืึนืึท
ื ืืื
-
CVE-2017-9805
CVE-2017-9805
ืึธืืึนืึท
ื ืืื
CVE-2016-4003
-
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืฉืื ืขื Apache Struts 2.x ืขื 2.3.28, ืฉืืื ืืจืกื 2.3.30. ืขื ืืืช, ืืืชืืกืก ืขื ืืชืืืืจ, ื-CVE ืชืงืฃ ืขืืืจ ืื ืืจืกื ืฉื Struts 2 ืื ื ืขืฉื ืฉืืืืฉ ื-JRE 1.7 ืื ืคืืืช. ืื ืจืื ืฉืื ืืืืืื ืืืื ืืืชื ื ืืื, ืืื ืื ื ืจืื ืืืชืจ ืืื FALSE
-
CVE-2018-1327
CVE-2018-1327
ืึธืืึนืึท
ื ืืื
CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
ืึธืืึนืึท
ื ืืื
ืืืชื ื ืงืืืช ืชืืจืคื ืฉืืืงืจืื ืฉื Equifax ื ืืฆืื ื-2017
CVE-2017-12611
CVE-2017-12611
-
ืึธืืึนืึท
ื ืืื
CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
ืึธืืึนืึท
ื ืืื
struts-taglib:1.3.8
-
CVE-2012-0394
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืชืืืืืช 2 ืืืืืช
-
CVE-2013-2115
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืชืืืืืช 2 ืืืืืช
-
CVE-2014-0114
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ื-commons-beanutils
-
CVE-2015-0899
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืื ืื ืขื taglib
-
CVE-2015-2992
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืชืืืืก ืืชืืืืืช 2-core
-
CVE-2016-1181
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืื ืื ืขื taglib
-
CVE-2016-1182
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืื ืื ืขื taglib
ืชืืืืืช-ืืจืืืื-1.3.8
-
CVE-2012-0394
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืชืืืืืช 2 ืืืืืช
-
CVE-2013-2115
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืืชืืืืืช 2 ืืืืืช
-
CVE-2014-0114
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืชืืช ืงืืืืช-ืคืืืื
-
CVE-2015-0899
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืื ืื ืขื ืืจืืืื
-
CVE-2015-2992
-
ืืื ืื ื
ืฉืึถืงึถืจ
ืืชืืืืืช 2 ืืืืืช
-
CVE-2016-1181
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืื ืื ืขื taglib
-
CVE-2016-1182
-
ืึธืืึนืึท
ืฉืึถืงึถืจ
ืื ืื ืขื taglib
ืืงืืจ: www.habr.com