DevSecOps: עקרונות הפעולה וההשוואה של SCA. חלק ראשון

החשיבות של ניתוח רכיבי תוכנה של צד שלישי (Software Composition Analysis - SCA) בתהליך הפיתוח גוברת עם שחרור דוחות שנתיים על נקודות התורפה של ספריות קוד פתוח, המתפרסמים על ידי Synopsys, Sonatype, Snyk ו-White Source. . לפי הכתבה המצב של פרצות אבטחת קוד פתוח 2020 מספר נקודות התורפה שזוהו בקוד פתוח בשנת 2019 גדל כמעט פי 1.5 בהשוואה לשנה הקודמת, בעוד שרכיבי קוד פתוח נמצאים בשימוש של 60% עד 80% מהפרויקטים. על בסיס עצמאי, תהליכי SCA הם פרקטיקה נפרדת של OWASP SAMM ו-BSIMM כאינדיקטור לבגרות, ובמחצית הראשונה של 2020, OWASP הוציאה את התקן החדש של OWASP Software Component Verification (SCVS), המספק שיטות עבודה מומלצות לאימות שלישית- רכיבי צד בשרשרת האספקה ​​BY.

אחד המקרים הממחישים ביותר קרה עם Equifax במאי 2017. תוקפים לא ידועים השיגו מידע על 143 מיליון אמריקאים, כולל שמות מלאים, כתובות, מספרי ביטוח לאומי ורישיונות נהיגה. ב-209 מקרים כללו המסמכים גם מידע על כרטיסים הבנקאיים של הקורבנות. דליפה זו התרחשה כתוצאה מניצול של פגיעות קריטית ב- Apache Struts 000 (CVE-2-2017), בזמן שהתיקון שוחרר עוד במרץ 5638. לחברה היו חודשיים להתקין את העדכון, אך איש לא הפריע לו.

מאמר זה ידון בסוגיית בחירת כלי לביצוע SCA מנקודת מבט של איכות תוצאות הניתוח. כמו כן, תינתן השוואה פונקציונלית של הכלים. תהליך ההשתלבות ב-CI/CD ויכולות האינטגרציה יוותר לפרסומים הבאים. מגוון רחב של כלים הוצג על ידי OWASP באתר שלך, אבל בסקירה הנוכחית ניגע רק בכלי הקוד הפתוח הפופולרי ביותר Dependency Check, פלטפורמת הקוד הפתוח המעט פחות מוכרת Dependency Track ופתרון Enterprise Sonatype Nexus IQ. כמו כן, נבין כיצד פתרונות אלו פועלים ונשווה את התוצאות המתקבלות עבור תוצאות חיוביות שגויות.

עיקרון הפעולה

בדיקת תלות הוא כלי עזר (CLI, maven, jenkins module, ant) ​​שמנתח קבצי פרויקט, אוסף פיסות מידע על תלות (שם חבילה, groupid, כותרת מפרט, גרסה...), בונה קו CPE (Common Platform Enumeration) , URL של חבילה ( PURL) ומזהה נקודות תורפה עבור CPE/PURL ממסדי נתונים (NVD, Sonatype OSS Index, NPM Audit API...), ולאחר מכן הוא בונה דוח חד פעמי בפורמט HTML, JSON, XML...

בואו נסתכל איך נראה CPE:

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

• חֵלֶק: ציון שהרכיב מתייחס לאפליקציה (א), מערכת הפעלה (o), חומרה (h) (חובה)
• ספק: שם יצרן המוצר (חובה)
• מוצר: שם המוצר (חובה)
• גִרְסָה: גרסת רכיב (פריט מיושן)
• עדכון: עדכון חבילה
• מהדורה: גרסה מדור קודם (פריט שהוצא משימוש)
• שפה: שפה מוגדרת ב-RFC-5646
• מהדורת SW: גרסת תוכנה
• יעד SW: סביבת תוכנה בה המוצר פועל
• היעד HW: סביבת החומרה שבה פועל המוצר
• אַחֵר: מידע על ספק או מוצר

דוגמה ל-CPE נראית כך:

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

השורה אומרת ש-CPE גרסה 2.3 מתארת ​​את רכיב האפליקציה מהיצרן pivotal_software עם הכותרת spring_framework גרסה 3.0.0. אם נפתח פגיעות CVE-2014-0225 ב-NVD, אנו יכולים לראות אזכור של CPE זה. הבעיה הראשונה שכדאי לשים לב אליה מיד היא ש-CVE ב-NVD, לפי CPE, מדווח על בעיה במסגרת, ולא ברכיב ספציפי. כלומר, אם מפתחים קשורים היטב למסגרת, והפגיעות שזוהתה לא משפיעה על אותם מודולים שהמפתחים משתמשים בהם, מומחה אבטחה יצטרך בדרך זו או אחרת לפרק את ה-CVE הזה ולחשוב על עדכון.

כתובת האתר משמשת גם כלי SCA. פורמט כתובת האתר של החבילה הוא כדלקמן:

scheme:type/namespace/name@version?qualifiers#subpath

• תָכְנִית: תמיד יהיה 'pkg' המציין שזוהי כתובת אתר של חבילה (חובה)
• סוּג: ה"סוג" של החבילה או ה"פרוטוקול" של החבילה, כגון maven, npm, nuget, gem, pypi וכו'. (פריט חובה)
• מרחב שמות: קידומת שם כלשהי, כגון מזהה קבוצתי של Maven, בעל תמונה של Docker, משתמש GitHub או ארגון. אופציונלי ותלוי בסוג.
• שֵׁם: שם החבילה (חובה)
• גִרְסָה: גרסת החבילה
• מוקדמות: נתוני הסמכה נוספים לחבילה, כגון מערכת הפעלה, ארכיטקטורה, הפצה וכו'. אופציונלי וספציפי לסוג.
• נתיב משנה: נתיב נוסף בחבילה ביחס לשורש החבילה

לדוגמה:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

מסלול תלות - פלטפורמת אינטרנט מקומית שמקבלת את ביל החומרים המוכן (BOM) שנוצר CycloneDX и SPDX, כלומר מפרטים מוכנים לגבי תלות קיימות. זהו קובץ XML המתאר את התלות - שם, hashes, url חבילה, מפרסם, רישיון. לאחר מכן, Dependency Track מנתח את ה-BOM, בוחן את ה-CVEs הזמינים לתלות שזוהו ממסד הנתונים של הפגיעות (NVD, Sonatype OSS Index...), ולאחר מכן הוא בונה גרפים, מחשב מדדים, עדכון קבוע של נתונים על מצב הפגיעות של רכיבים .

דוגמה לאיך עשוי להיראות BOM בפורמט XML:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM יכול לשמש לא רק כפרמטרי קלט עבור Dependency Track, אלא גם עבור מלאי של רכיבי תוכנה בשרשרת האספקה, למשל, לאספקת תוכנה ללקוח. ב-2014 אף הוצע חוק בארצות הברית "חוק ניהול שרשרת אספקה ​​ושקיפות סייבר משנת 2014", שקבע כי בעת רכישת תוכנה, כל מדינה. על המוסד לבקש BOM למניעת שימוש ברכיבים פגיעים, אך החוק טרם נכנס לתוקף.

כשחוזרים ל-SCA, ל-Dependency Track יש אינטגרציות מוכנות עם פלטפורמות התראות כמו Slack, מערכות ניהול פגיעות כמו Kenna Security. כדאי גם לומר ש-Dependency Track, בין היתר, מזהה גרסאות מיושנות של חבילות ומספק מידע על רישיונות (עקב תמיכת SPDX).

אם נדבר ספציפית על איכות SCA, אז יש הבדל מהותי.

מסלול התלות אינו מקבל את הפרויקט כקלט, אלא את ה-BOM. זה אומר שאם אנחנו רוצים לבדוק את הפרויקט, אנחנו צריכים קודם כל ליצור bom.xml, למשל באמצעות CycloneDX. לפיכך, מסלול התלות תלוי ישירות ב-CycloneDX. יחד עם זאת, זה מאפשר התאמה אישית. זה מה שכתב צוות OZON מודול CycloneDX להרכבת קבצי BOM עבור פרויקטים של Golang לסריקה נוספת דרך Dependency Track.

Nexus IQ הוא פתרון SCA מסחרי מבית Sonatype, המהווה חלק מהאקוסיסטם של Sonatype, הכולל גם את Nexus Repository Manager. Nexus IQ יכול לקבל כנתוני קלט גם ארכיוני מלחמה (עבור פרויקטי Java) דרך ממשק האינטרנט או ה-API, וגם BOM, אם הארגון שלך לא הספיק לעבור מ-CycloneDX לפתרון חדש. בניגוד לפתרונות קוד פתוח, IQ מתייחס לא רק ל-CP/PURL לרכיב המזוהה ולפגיעות המתאימה במסד הנתונים, אלא גם לוקח בחשבון את המחקר שלו, למשל, את שם הפונקציה או המחלקה הפגיעים. המנגנונים של IQ יידונו בהמשך ניתוח התוצאות.

בואו נסכם כמה מהתכונות הפונקציונליות, ונשקול גם את השפות הנתמכות לניתוח:

שפה
Nexus IQ
בדיקת תלות
מסלול תלות

Java
+
+
+

C / C ++
+
+
-

C#
+
+
-

.נט
+
+
+

ארלנג
-
-
+

JavaScript (NodeJS)
+
+
+

PHP
+
+
+

פיתון
+
+
+

אוֹדֶם
+
+
+

פרל
-
-
-

סולם
+
+
+

מטרה C
+
+
-

סוויפט
+
+
-

R
+
-
-

Go
+
+
+

פונקציונליות

פונקציונליות
Nexus IQ
בדיקת תלות
מסלול תלות

היכולת להבטיח שרכיבים המשמשים בקוד המקור נבדקים על טוהר מורשה
+
-
+

יכולת סריקה וניתוח של פגיעויות וניקיון רישיון עבור תמונות Docker
+ אינטגרציה עם קלייר
-
-

יכולת להגדיר מדיניות אבטחה לשימוש בספריות קוד פתוח
+
-
-

יכולת לסרוק מאגרי קוד פתוח לאיתור רכיבים פגיעים
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ Hex, RubyGems, Maven, NPM, Nuget, Pypi

זמינות של קבוצת מחקר מתמחה
+
-
-

פעולת לולאה סגורה
+
+
+

שימוש במאגרי מידע של צד שלישי
+ מסד נתונים סגור של Sonatype
+ Sonatype OSS, NPM יועצים ציבוריים
+ Sonatype OSS, NPM Public Advisors, RetireJS, VulnDB, תמיכה במסד הנתונים של פגיעות משלו

יכולת לסנן רכיבי קוד פתוח בעת ניסיון לטעון ללולאת הפיתוח על פי מדיניות מוגדרת
+
-
-

המלצות לתיקון נקודות תורפה, זמינות קישורים לתיקונים
+
+- (תלוי בתיאור במאגרי מידע ציבוריים)
+- (תלוי בתיאור במאגרי מידע ציבוריים)

דירוג של פגיעויות שזוהו לפי חומרה
+
+
+

מודל גישה מבוסס תפקידים
+
-
+

תמיכת CLI
+
+
+- (רק עבור CycloneDX)

דגימה/מיון של נקודות תורפה לפי קריטריונים מוגדרים
+
-
+

לוח מחוונים לפי סטטוס אפליקציה
+
-
+

הפקת דוחות בפורמט PDF
+
-
-

הפקת דוחות בפורמט JSONCSV
+
+
-

תמיכה בשפה הרוסית
-
-
-

יכולות אינטגרציה

Интеграция
Nexus IQ
בדיקת תלות
מסלול תלות

שילוב LDAP/Active Directory
+
-
+

אינטגרציה עם מערכת אינטגרציה רציפה Bamboo
+
-
-

אינטגרציה עם מערכת אינטגרציה רציפה TeamCity
+
-
-

אינטגרציה עם מערכת אינטגרציה רציפה GitLab
+
+- (כתוסף עבור GitLab)
+

אינטגרציה עם מערכת אינטגרציה רציפה Jenkins
+
+
+

זמינות תוספים עבור IDE
+ IntelliJ, Eclipse, Visual Studio
-
-

תמיכה באינטגרציה מותאמת אישית באמצעות שירותי אינטרנט (API) של הכלי
+
-
+

בדיקת תלות

התחלה ראשונה

בוא נריץ את בדיקת התלות ביישום פגיע במכוון DVJA.

לשם כך נשתמש בדיקת תלות תוסף Maven:

mvn org.owasp:dependency-check-maven:check

כתוצאה מכך, dependency-check-report.html יופיע בספריית היעד.

בואו נפתח את הקובץ. לאחר מידע מסכם על המספר הכולל של הפגיעויות, נוכל לראות מידע על פרצות עם רמה גבוהה של חומרה וביטחון, המציין את החבילה, ה-CPE ומספר ה-CVEs.

בהמשך מגיע מידע מפורט יותר, ובפרט הבסיס שעל פיו התקבלה ההחלטה (ראיות), כלומר BOM מסויים.

לאחר מכן מגיע תיאור CPE, PURL ו-CVE. אגב, המלצות לתיקון אינן נכללות עקב היעדרן במאגר NVD.

כדי להציג באופן שיטתי את תוצאות הסריקה, אתה יכול להגדיר את Nginx עם הגדרות מינימליות, או לשלוח את הפגמים שנוצרו למערכת ניהול פגמים התומכת במחברים לבדיקת תלות. לדוגמה, Defect Dojo.

מסלול תלות

התקנה

Dependency Track, בתורו, הוא פלטפורמה מבוססת אינטרנט עם גרפי תצוגה, כך שהנושא הדוחף של אחסון פגמים בפתרון של צד שלישי לא מתעורר כאן.
הסקריפטים הנתמכים להתקנה הם: Docker, WAR, Executable WAR.

התחלה ראשונה

אנו עוברים לכתובת ה-URL של השירות הפועל. אנחנו נכנסים דרך admin/admin, משנים את הכניסה והסיסמה ואז מגיעים ל-Dashboard. הדבר הבא שנעשה הוא ליצור פרויקט עבור יישום בדיקה ב-Java ב בית/פרויקטים ← צור פרויקט . בואו ניקח את ה-DVJA כדוגמה.

מכיוון שמסלול תלות יכול לקבל רק BOM כקלט, יש לאחזר את BOM זה. בואו ננצל תוסף CycloneDX Maven:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

נקבל את bom.xml ונטען את הקובץ בפרויקט שנוצר DVJA ← תלות ← העלאת BOM.

בוא נעבור לניהול → מנתחים. אנו מבינים ש-Internal Analyzer מופעל רק, הכולל NVD. בואו נחבר גם את Sonatype OSS Index.

לפיכך, אנו מקבלים את התמונה הבאה עבור הפרויקט שלנו:

כמו כן ברשימה תוכל למצוא פגיעות אחת החלה על Sonatype OSS:

האכזבה העיקרית הייתה שמסלול התלות אינו מקבל יותר דוחות xml של בדיקת תלות. הגרסאות הנתמכות האחרונות של שילוב בדיקת התלות היו 1.0.0 - 4.0.2, בעוד בדקתי את 5.3.2.

כאן וידאו (ו כאן) כשזה עדיין היה אפשרי.

Nexus IQ

התחלה ראשונה

ההתקנה של Nexus IQ מגיעה מהארכיון של תיעוד, אבל בנינו תמונת Docker למטרות אלו.

לאחר הכניסה למסוף, עליך ליצור ארגון ויישום.

כפי שאתה יכול לראות, ההגדרה במקרה של IQ היא קצת יותר מסובכת, כי אנחנו צריכים גם ליצור מדיניות שישימה עבור "שלבים" שונים (פיתוח, בנייה, שלב, שחרור). זה הכרחי כדי לחסום רכיבים פגיעים כשהם עוברים בצינור קרוב יותר לייצור, או כדי לחסום אותם ברגע שהם נכנסים ל-Nexus Repo כשהם הורדו על ידי מפתחים.

כדי להרגיש את ההבדל בין קוד פתוח לארגון, בואו נבצע את אותה סריקה דרך Nexus IQ באותו אופן דרך תוסף Maven, לאחר שיצר בעבר יישום בדיקה בממשק NexusIQ dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

עקוב אחר כתובת האתר לדוח שנוצר בממשק האינטרנט של IQ:

כאן אתה יכול לראות את כל הפרות המדיניות המצביעות על רמות משמעות שונות (ממידע ועד קריטי אבטחה). האות D שליד הרכיב פירושה שהרכיב הוא תלות ישירה, והאות T ליד הרכיב פירושה שהרכיב הוא תלות טרנזיטיבית, כלומר טרנזיטיבית.

אגב, הדו"ח מצב דוח אבטחת קוד פתוח 2020 מ-Snyk מדווח כי יותר מ-70% מהחולשות בקוד פתוח שהתגלו ב-Node.js, Java ו-Ruby נמצאות בתלות מעברית.

אם נפתח את אחת מהפרות המדיניות של Nexus IQ, נוכל לראות תיאור של הרכיב, כמו גם גרף גרסה, המציג את מיקומה של הגרסה הנוכחית בגרף הזמן, וכן באיזה נקודה הפגיעות מפסיקה להיות פגיע. גובה הנרות בגרף מראה את הפופולריות של השימוש ברכיב זה.

אם תעבור לסעיף הפגיעות ותרחיב את ה-CVE, תוכל לקרוא תיאור של פגיעות זו, המלצות לביטול, כמו גם הסיבה לכך שהרכיב הזה הופר, כלומר נוכחות המחלקה DiskFileitem.class.

בואו נסכם רק את אלו הקשורים לרכיבי Java של צד שלישי, תוך הסרת רכיבי js. בסוגריים אנו מציינים את מספר הפגיעות שנמצאו מחוץ ל-NVD.

סך Nexus IQ:

• תלות שנסרקה: 62
• תלות פגיעות: 16
• פגיעויות שנמצאו: 42 (8 סונאטייפ db)

בדיקת תלות כוללת:

• תלות שנסרקה: 47
• תלות פגיעות: 13
• פגיעויות שנמצאו: 91 (14 סונאטייפ oss)

מסלול תלות מוחלטת:

• תלות שנסרקה: 59
• תלות פגיעות: 10
• פגיעויות שנמצאו: 51 (1 סונאטייפ oss)

בשלבים הבאים ננתח את התוצאות שהתקבלו ונבין איזו מהחולשות הללו היא פגם אמיתי ואיזו חיובית שגויה.

כתב ויתור

סקירה זו אינה אמת שאין עליה עוררין. למחבר לא הייתה מטרה להדגיש מכשיר נפרד על רקע אחרים. מטרת הסקירה הייתה להראות את מנגנוני הפעולה של כלי SCA ודרכים לבדוק את תוצאותיהם.

השוואה בין תוצאות

תנאי שימוש באתר:

חיובי שגוי עבור פגיעויות של רכיבים של צד שלישי היא:

• אי התאמה של CVE לרכיב שזוהה
• לדוגמה, אם מזוהה פגיעות במסגרת struts2, והכלי מצביע על רכיב של struts-tiles framework, שעליו פגיעות זו אינה חלה, אזי מדובר ב-false positive
• אי התאמה של CVE לגרסה המזוהה של הרכיב
• לדוגמא, הפגיעות קשורה לגרסת python > 3.5 והכלי מסמן את גרסה 2.7 כפגיעה - זוהי תוצאה שגויה, שכן למעשה הפגיעות חלה רק על ענף המוצר 3.x
• שכפול CVE
• לדוגמה, אם ה-SCA מציין CVE המאפשר RCE, אז ה-SCA מציין CVE עבור אותו רכיב שחל על מוצרי Cisco המושפעים מאותו RCE. במקרה זה זה יהיה חיובי שגוי.
• לדוגמה, CVE נמצא ברכיב spring-web, ולאחר מכן SCA מצביע על אותו CVE ברכיבים אחרים של Spring Framework, בעוד שלCVE אין שום קשר לרכיבים אחרים. במקרה זה זה יהיה חיובי שגוי.

מטרת המחקר הייתה פרויקט הקוד הפתוח DVJA. המחקר כלל רק רכיבי Java (ללא js).

תוצאות סיכום

נעבור ישר לתוצאות של סקירה ידנית של נקודות תורפה שזוהו. הדוח המלא עבור כל CVE ניתן למצוא בנספח.

תוצאות סיכום עבור כל הפגיעויות:

פרמטר
Nexus IQ
בדיקת תלות
מסלול תלות

סה"כ פגיעויות שזוהו
42
91
51

נקודות תורפה שזוהו בצורה שגויה (חיובי שגוי)
2 (4.76%)
62 (68,13%)
29 (56.86%)

לא נמצאו פגיעויות רלוונטיות (שלילי כוזב)
10
20
27

סיכום תוצאות לפי רכיב:

פרמטר
Nexus IQ
בדיקת תלות
מסלול תלות

סך כל הרכיבים שזוהו
62
47
59

סך הכל רכיבים פגיעים
16
13
10

רכיבים פגיעים שזוהו באופן שגוי (חיובי שגוי)
1
5
0

רכיבים פגיעים שזוהו באופן שגוי (חיובי שגוי)
0
6
6

בואו נבנה גרפים חזותיים כדי להעריך את היחס בין חיובי שגוי ושלילי כוזב למספר הכולל של נקודות תורפה. רכיבים מסומנים בצורה אופקית, ופגיעות המזוהות בהם מסומנות אנכית.

לשם השוואה, מחקר דומה נערך על ידי צוות Sonatype שבדק פרויקט של 1531 רכיבים באמצעות OWASP Dependency Check. כפי שאנו יכולים לראות, היחס בין רעש לתגובות נכונות דומה לתוצאות שלנו.

מקור: www.sonatype.com/why-precision-matters-ebook

בואו נסתכל על כמה CVEs מתוצאות הסריקה שלנו כדי להבין את הסיבה לתוצאות אלה.

קרא עוד

№ 1

בואו נסתכל תחילה על כמה נקודות מעניינות על Sonatype Nexus IQ.

Nexus IQ מצביע על בעיה עם דה-סריאליזציה עם היכולת לבצע RCE ב-Spring Framework מספר פעמים. CVE-2016-1000027 ב-spring-web:3.0.5 בפעם הראשונה, ו-CVE-2011-2894 ב-spring-context:3.0.5 ו-spring-core:3.0.5. בהתחלה, נראה שיש כפילות של פגיעות על פני מספר CVEs. כי אם אתה מסתכל על CVE-2016-1000027 ו-CVE-2011-2894 במסד הנתונים של NVD, נראה שהכל ברור

רכיב
פגיעות

spring-web:3.0.5
CVE-2016-1000027

אביב-הקשר:3.0.5
CVE-2011-2894

קפיץ-ליבת:3.0.5
CVE-2011-2894

תיאור CVE-2011-2894 מאת NVD:


תיאור CVE-2016-1000027 מאת NVD:


CVE-2011-2894 עצמו מפורסם למדי. בדוח מקור לבן 2011 CVE זה הוכר כאחד הנפוצים ביותר. תיאורים עבור CVE-2016-100027, באופן עקרוני, מעטים ב-NVD, ונראה שהוא ישים רק עבור Spring Framework 4.1.4. בואו נסתכל על הפניה וכאן הכל מתבהר פחות או יותר. מ מאמרים סבירים אנו מבינים שבנוסף לפגיעות ב RemoteInvocationSerializingExporter ב-CVE-2011-2894, הפגיעות נצפית ב HttpInvokerServiceExporter. זה מה ש-Nexus IQ אומר לנו:

עם זאת, אין דבר כזה ב-NVD, וזו הסיבה שבדיקת תלות ומעקב תלות מקבלים כל אחד מהם False negative.

גם מהתיאור של CVE-2011-2894 ניתן להבין שהפגיעות אכן קיימת הן בהקשר spring-context:3.0.5 והן ב-spring-core:3.0.5. אישור לכך ניתן למצוא במאמר של האדם שמצא את הפגיעות הזו.

№ 2

רכיב
פגיעות
תוצאה

תמוכות2-ליבה:2.3.30
CVE-2016-4003
שֶׁקֶר

אם נלמד את הפגיעות CVE-2016-4003, נבין שהיא תוקנה בגרסה 2.3.28, עם זאת, Nexus IQ מדווחת לנו על כך. יש הערה בתיאור של הפגיעות:

כלומר, הפגיעות קיימת רק בשילוב עם גרסה מיושנת של ה-JRE, שעליה החליטו להזהיר אותנו. עם זאת, אנו רואים זאת כחיובי כוזב, אם כי לא הגרוע ביותר.

№ 3

רכיב
פגיעות
תוצאה

xwork-core:2.3.30
CVE-2017-9804
נכון

xwork-core:2.3.30
CVE-2017-7672
שֶׁקֶר

אם נסתכל על התיאורים של CVE-2017-9804 ו-CVE-2017-7672, נבין שהבעיה היא URLValidator class, עם CVE-2017-9804 שמקורו ב-CVE-2017-7672. הנוכחות של הפגיעות השנייה אינה נושאת שום עומס שימושי מלבד העובדה שחומרתה עלתה ל-High, כך שאנו יכולים לראות בה רעש מיותר.

בסך הכל, לא נמצאו תוצאות חיוביות כוזבות אחרות עבור Nexus IQ.

№ 4

יש כמה דברים שגורמים ל-IQ לבלוט מפתרונות אחרים.

רכיב
פגיעות
תוצאה

spring-web:3.0.5
CVE-2020-5398
נכון

ה-CVE ב-NVD מציין שהוא חל רק על גרסאות 5.2.x לפני 5.2.3, 5.1.x לפני 5.1.13, וגרסאות 5.0.x לפני 5.0.16, עם זאת, אם נסתכל על תיאור ה-CVE ב-Nexus IQ , אז נראה את הדברים הבאים:
הודעת סטייה מייעצת: צוות מחקר האבטחה של Sonatype גילה שפגיעות זו הוצגה בגרסה 3.0.2.RELEASE ולא ב-5.0.x כפי שצוין בייעוץ.

לאחר מכן, PoC עבור פגיעות זו, המציין שהיא קיימת בגרסה 3.0.5.

שלילי כוזב נשלח לבדיקת תלות ולמעקב תלות.

№ 5

בואו נסתכל על חיובי כוזב עבור בדיקת תלות ומסלול תלות.

בדיקת תלות בולטת בכך שהיא משקפת את אותם CVEs החלים על המסגרת כולה ב- NVD על אותם רכיבים ש-CVEs אלה אינם חלים עליהם. זה נוגע ל-CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182, אשר תלויות ” ל-struts-taglib:1.3.8 ו-struts-tiles-1.3.8. לרכיבים הללו אין שום קשר למה שמתואר ב-CVE - עיבוד בקשות, אימות עמוד וכו'. זה נובע מהעובדה שמה שמשותף ל-CVEs ולרכיבים הללו הוא רק המסגרת, וזו הסיבה שה-Dependency Check ראתה בכך נקודת תורפה.

אותו מצב הוא עם spring-tx:3.0.5, ומצב דומה עם struts-core:1.3.8. עבור struts-core, Dependency Check ו-Dependency Track מצאו הרבה פגיעויות שמתאימות למעשה ל- struts2-core, שהיא בעצם מסגרת נפרדת. במקרה זה, Nexus IQ הבין נכון את התמונה וב-CVEs שהוא הוציא, זה הצביע על כך ש-Struts-core הגיע לסוף החיים והיה צורך לעבור ל-struts2-core.

№ 6

במצבים מסוימים, זה לא הוגן לפרש שגיאה ברורה של בדיקת תלות ומעקב תלות. בפרט CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225, אילו מעקב תלות ובדיקת תלות מיוחס ל-spring-core:3.0.5 שייך למעשה ל-spring-web:3.0.5. במקביל, חלק מה-CVEs הללו נמצאו גם על ידי Nexus IQ, עם זאת, IQ זיהה אותם בצורה נכונה לרכיב אחר. מכיוון שפגיעות אלו לא נמצאו ב-spring-core, לא ניתן לטעון שהן אינן במסגרת העקרונית וכלי קוד פתוח הצביעו בצדק על הפרצות הללו (הם פשוט פספסו קצת).

ממצאים

כפי שאנו יכולים לראות, קביעת המהימנות של נקודות תורפה שזוהו על ידי סקירה ידנית אינה נותנת תוצאות חד משמעיות, וזו הסיבה שמתעוררות סוגיות שנויות במחלוקת. התוצאות הן שלפתרון Nexus IQ יש את שיעור חיובי השווא הנמוך ביותר ואת הדיוק הגבוה ביותר.

קודם כל, זה נובע מהעובדה שצוות Sonatype הרחיב את התיאור עבור כל פגיעות CVE מ-NVD בבסיסי הנתונים שלו, תוך ציון הפגיעויות עבור גרסה מסוימת של הרכיבים עד למחלקה או לפונקציה, וביצע מחקר נוסף (למשל , בדיקת נקודות תורפה בגרסאות תוכנה ישנות יותר).

השפעה חשובה על התוצאות מופעלת גם על ידי אותן נקודות תורפה שלא נכללו ב-NVD, אך בכל זאת קיימות במסד הנתונים של Sonatype עם סימן SONATYPE. לפי הכתבה המצב של פרצות אבטחת קוד פתוח 2020 45% מהחולשות שהתגלו בקוד פתוח אינן מדווחות ל-NVD. לפי מסד הנתונים של WhiteSource, רק 29% מכל פרצות הקוד הפתוח המדווחות מחוץ ל-NVD מתפרסמות שם בסופו של דבר, וזו הסיבה שחשוב לחפש פרצות גם במקורות אחרים.

כתוצאה מכך, בדיקת תלות מייצרת הרבה רעש, וחסרים כמה רכיבים פגיעים. Dependency Track מייצר פחות רעש ומזהה מספר רב של רכיבים, מה שלא פוגע חזותית בעיניים בממשק האינטרנט.

עם זאת, התרגול מראה שקוד פתוח צריך להפוך לצעדים הראשונים לקראת DevSecOps בוגר. הדבר הראשון שעליך לחשוב עליו בעת שילוב SCA בפיתוח הוא תהליכים, כלומר, חשיבה משותפת עם ההנהלה והמחלקות הקשורות לגבי איך תהליכים אידיאליים צריכים להיראות בארגון שלך. יכול להיות שעבור הארגון שלך, בהתחלה, Dependency Check או Dependency Track יכסו את כל הצרכים העסקיים, ופתרונות Enterprise יהוו המשך הגיוני בשל המורכבות ההולכת וגוברת של האפליקציות המפותחות.

נספח א': תוצאות רכיבים
סמלים:

• פגיעויות ברמה גבוהה-גבוהה וקריטית ברכיב
• בינוני - פגיעויות ברמת קריטיות בינונית ברכיב
• TRUE - נושא חיובי אמיתי
• FALSE - נושא חיובי כוזב

רכיב
Nexus IQ
בדיקת תלות
מסלול תלות
תוצאה

dom4j: 1.6.1
גָבוֹהַ
גָבוֹהַ
גָבוֹהַ
נכון

log4j-core: 2.3
גָבוֹהַ
גָבוֹהַ
גָבוֹהַ
נכון

log4j: 1.2.14
גָבוֹהַ
גָבוֹהַ
-
נכון

אוספים-משותף:3.1
גָבוֹהַ
גָבוֹהַ
גָבוֹהַ
נכון

commons-fileupload:1.3.2
גָבוֹהַ
גָבוֹהַ
גָבוֹהַ
נכון

commons-beanutils:1.7.0
גָבוֹהַ
גָבוֹהַ
גָבוֹהַ
נכון

commons-codec:1:10
בינוני
-
-
נכון

mysql-connector-java:5.1.42
גָבוֹהַ
גָבוֹהַ
גָבוֹהַ
נכון

קפיץ-ביטוי:3.0.5
גָבוֹהַ
הרכיב לא נמצא

נכון

spring-web:3.0.5
גָבוֹהַ
הרכיב לא נמצא
גָבוֹהַ
נכון

אביב-הקשר:3.0.5
בינוני
הרכיב לא נמצא
-
נכון

קפיץ-ליבת:3.0.5
בינוני
גָבוֹהַ
גָבוֹהַ
נכון

struts2-config-browser-plugin:2.3.30
בינוני
-
-
נכון

spring-tx:3.0.5
-
גָבוֹהַ
-
שֶׁקֶר

תמוכות-ליבת:1.3.8
גָבוֹהַ
גָבוֹהַ
גָבוֹהַ
נכון

xwork-core: 2.3.30
גָבוֹהַ
-
-
נכון

תמוכות2-ליבת: 2.3.30
גָבוֹהַ
גָבוֹהַ
גָבוֹהַ
נכון

struts-taglib:1.3.8
-
גָבוֹהַ
-
שֶׁקֶר

תמוכות-אריחים-1.3.8
-
גָבוֹהַ
-
שֶׁקֶר

נספח ב': תוצאות פגיעות
סמלים:

• פגיעויות ברמה גבוהה-גבוהה וקריטית ברכיב
• בינוני - פגיעויות ברמת קריטיות בינונית ברכיב
• TRUE - נושא חיובי אמיתי
• FALSE - נושא חיובי כוזב

רכיב
Nexus IQ
בדיקת תלות
מסלול תלות
חומרה
תוצאה
הערה

dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
גָבוֹהַ
נכון

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
גָבוֹהַ
נכון

log4j-core: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
גָבוֹהַ
נכון

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
נמוך
נכון

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
גָבוֹהַ
נכון

-
CVE-2020-9488
-
נמוך
נכון

SONATYPE-2010-0053
-
-
גָבוֹהַ
נכון

אוספים-משותף:3.1
-
CVE-2015-6420
CVE-2015-6420
גָבוֹהַ
שֶׁקֶר
שכפול RCE(OSSINDEX)

-
CVE-2017-15708
CVE-2017-15708
גָבוֹהַ
שֶׁקֶר
שכפול RCE(OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
גָבוֹהַ
נכון

commons-fileupload:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
גָבוֹהַ
נכון

SONATYPE-2014-0173
-
-
בינוני
נכון

commons-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
גָבוֹהַ
נכון

-
CVE-2019-10086
CVE-2019-10086
גָבוֹהַ
שֶׁקֶר
הפגיעות חלה רק על גרסאות 1.9.2+

commons-codec:1:10
SONATYPE-2012-0050
-
-
בינוני
נכון

mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
גָבוֹהַ
נכון

CVE-2019-2692
CVE-2019-2692
-
בינוני
נכון

-
CVE-2020-2875
-
בינוני
שֶׁקֶר
אותה נקודת תורפה כמו CVE-2019-2692, אך עם ההערה "התקפות עשויות להשפיע באופן משמעותי על מוצרים נוספים"

-
CVE-2017-15945
-
גָבוֹהַ
שֶׁקֶר
לא רלוונטי ל-mysql-connector-java

-
CVE-2020-2933
-
נמוך
שֶׁקֶר
שכפול של CVE-2020-2934

CVE-2020-2934
CVE-2020-2934
-
בינוני
נכון

קפיץ-ביטוי:3.0.5
CVE-2018-1270
הרכיב לא נמצא
-
גָבוֹהַ
נכון

CVE-2018-1257
-
-
בינוני
נכון

spring-web:3.0.5
CVE-2016-1000027
הרכיב לא נמצא
-
גָבוֹהַ
נכון

CVE-2014-0225
-
CVE-2014-0225
גָבוֹהַ
נכון

CVE-2011-2730
-
-
גָבוֹהַ
נכון

-
-
CVE-2013-4152
בינוני
נכון

CVE-2018-1272
-
-
גָבוֹהַ
נכון

CVE-2020-5398
-
-
גָבוֹהַ
נכון
דוגמה להמחשה לטובת IQ: "צוות מחקר האבטחה של Sonatype גילה שהפגיעות הזו הוצגה בגרסה 3.0.2.RELEASE ולא ב-5.0.x כפי שצוין בייעוץ."

CVE-2013-6429
-
-
בינוני
נכון

CVE-2014-0054
-
CVE-2014-0054
בינוני
נכון

CVE-2013-6430
-
-
בינוני
נכון

אביב-הקשר:3.0.5
CVE-2011-2894
הרכיב לא נמצא
-
בינוני
נכון

קפיץ-ליבת:3.0.5
-
CVE-2011-2730
CVE-2011-2730
גָבוֹהַ
נכון

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
בינוני
נכון

-
-
CVE-2013-4152
בינוני
שֶׁקֶר
שכפול של אותה פגיעות ב-spring-web

-
CVE-2013-4152
-
בינוני
שֶׁקֶר
הפגיעות מתייחסת לרכיב spring-web

-
CVE-2013-6429
CVE-2013-6429
בינוני
שֶׁקֶר
הפגיעות מתייחסת לרכיב spring-web

-
CVE-2013-6430
-
בינוני
שֶׁקֶר
הפגיעות מתייחסת לרכיב spring-web

-
CVE-2013-7315
CVE-2013-7315
בינוני
שֶׁקֶר
SPLIT מ-CVE-2013-4152. + הפגיעות מתייחסת לרכיב spring-web

-
CVE-2014-0054
CVE-2014-0054
בינוני
שֶׁקֶר
הפגיעות מתייחסת לרכיב spring-web

-
CVE-2014-0225
-
גָבוֹהַ
שֶׁקֶר
הפגיעות מתייחסת לרכיב spring-web

-
-
CVE-2014-0225
גָבוֹהַ
שֶׁקֶר
שכפול של אותה פגיעות ב-spring-web

-
CVE-2014-1904
CVE-2014-1904
בינוני
שֶׁקֶר
הפגיעות מתייחסת לרכיב spring-web-mvc

-
CVE-2014-3625
CVE-2014-3625
בינוני
שֶׁקֶר
הפגיעות מתייחסת לרכיב spring-web-mvc

-
CVE-2016-9878
CVE-2016-9878
גָבוֹהַ
שֶׁקֶר
הפגיעות מתייחסת לרכיב spring-web-mvc

-
CVE-2018-1270
CVE-2018-1270
גָבוֹהַ
שֶׁקֶר
לאביב-ביטוי/אביב-הודעות

-
CVE-2018-1271
CVE-2018-1271
בינוני
שֶׁקֶר
הפגיעות מתייחסת לרכיב spring-web-mvc

-
CVE-2018-1272
CVE-2018-1272
גָבוֹהַ
נכון

CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
בינוני
נכון

SONATYPE-2015-0327
-
-
נמוך
נכון

struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
בינוני
נכון

spring-tx:3.0.5
-
CVE-2011-2730
-
גָבוֹהַ
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2011-2894
-
גָבוֹהַ
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2013-4152
-
בינוני
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2013-6429
-
בינוני
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2013-6430
-
בינוני
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2013-7315
-
בינוני
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2014-0054
-
בינוני
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2014-0225
-
גָבוֹהַ
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2014-1904
-
בינוני
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2014-3625
-
בינוני
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2016-9878
-
גָבוֹהַ
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2018-1270
-
גָבוֹהַ
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2018-1271
-
בינוני
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

-
CVE-2018-1272
-
בינוני
שֶׁקֶר
הפגיעות אינה ספציפית ל-spring-tx

תמוכות-ליבת:1.3.8
-
CVE-2011-5057 (OSSINDEX)

בינוני
FASLE
פגיעות לתמוכות 2

-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
גָבוֹהַ
שֶׁקֶר
פגיעות לתמוכות 2

-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
בינוני
שֶׁקֶר
פגיעות לתמוכות 2

-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
גָבוֹהַ
שֶׁקֶר
פגיעות לתמוכות 2

CVE-2016-1182
3VE-2016-1182
-
גָבוֹהַ
נכון

-
-
CVE-2011-5057
בינוני
שֶׁקֶר
פגיעות לתמוכות 2

-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
גָבוֹהַ
שֶׁקֶר
פגיעות לתמוכות 2

-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
בינוני
שֶׁקֶר
פגיעות לתמוכות 2

CVE-2015-0899
CVE-2015-0899
-
גָבוֹהַ
נכון

-
CVE-2012-0394
CVE-2012-0394
בינוני
שֶׁקֶר
פגיעות לתמוכות 2

-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
גָבוֹהַ
שֶׁקֶר
פגיעות לתמוכות 2

-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
גָבוֹהַ
שֶׁקֶר
פגיעות לתמוכות 2

-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
גָבוֹהַ
FASLE
פגיעות לתמוכות 2

-
CVE-2013-2115
CVE-2013-2115
גָבוֹהַ
FASLE
פגיעות לתמוכות 2

-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
גָבוֹהַ
FASLE
פגיעות לתמוכות 2

-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
גָבוֹהַ
FASLE
פגיעות לתמוכות 2

CVE-2014-0114
CVE-2014-0114
-
גָבוֹהַ
נכון

-
CVE-2015-2992
CVE-2015-2992
בינוני
שֶׁקֶר
פגיעות לתמוכות 2

-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
גָבוֹהַ
שֶׁקֶר
פגיעות לתמוכות 2

CVE-2016-1181
CVE-2016-1181
-
גָבוֹהַ
נכון

-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
גָבוֹהַ
שֶׁקֶר
פגיעות לתמוכות 2

xwork-core:2.3.30
CVE-2017-9804
-
-
גָבוֹהַ
נכון

SONATYPE-2017-0173
-
-
גָבוֹהַ
נכון

CVE-2017-7672
-
-
גָבוֹהַ
שֶׁקֶר
שכפול של CVE-2017-9804

SONATYPE-2016-0127
-
-
גָבוֹהַ
נכון

תמוכות2-ליבה:2.3.30
-
CVE-2016-6795
CVE-2016-6795
גָבוֹהַ
נכון

-
CVE-2017-9787
CVE-2017-9787
גָבוֹהַ
נכון

-
CVE-2017-9791
CVE-2017-9791
גָבוֹהַ
נכון

-
CVE-2017-9793
-
גָבוֹהַ
שֶׁקֶר
שכפול של CVE-2018-1327

-
CVE-2017-9804
-
גָבוֹהַ
נכון

-
CVE-2017-9805
CVE-2017-9805
גָבוֹהַ
נכון

CVE-2016-4003
-
-
בינוני
שֶׁקֶר
ישים על Apache Struts 2.x עד 2.3.28, שהיא גרסה 2.3.30. עם זאת, בהתבסס על התיאור, ה-CVE תקף עבור כל גרסה של Struts 2 אם נעשה שימוש ב-JRE 1.7 או פחות. כנראה שהם החליטו לבטח אותנו כאן, אבל זה נראה יותר כמו FALSE

-
CVE-2018-1327
CVE-2018-1327
גָבוֹהַ
נכון

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
גָבוֹהַ
נכון
אותה נקודת תורפה שהאקרים של Equifax ניצלו ב-2017

CVE-2017-12611
CVE-2017-12611
-
גָבוֹהַ
נכון

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
גָבוֹהַ
נכון

struts-taglib:1.3.8
-
CVE-2012-0394
-
בינוני
שֶׁקֶר
לתמוכות 2 ליבות

-
CVE-2013-2115
-
גָבוֹהַ
שֶׁקֶר
לתמוכות 2 ליבות

-
CVE-2014-0114
-
גָבוֹהַ
שֶׁקֶר
ל-commons-beanutils

-
CVE-2015-0899
-
גָבוֹהַ
שֶׁקֶר
לא חל על taglib

-
CVE-2015-2992
-
בינוני
שֶׁקֶר
מתייחס לתמוכות 2-core

-
CVE-2016-1181
-
גָבוֹהַ
שֶׁקֶר
לא חל על taglib

-
CVE-2016-1182
-
גָבוֹהַ
שֶׁקֶר
לא חל על taglib

תמוכות-אריחים-1.3.8
-
CVE-2012-0394
-
בינוני
שֶׁקֶר
לתמוכות 2 ליבות

-
CVE-2013-2115
-
גָבוֹהַ
שֶׁקֶר
לתמוכות 2 ליבות

-
CVE-2014-0114
-
גָבוֹהַ
שֶׁקֶר
תחת קומות-פולים

-
CVE-2015-0899
-
גָבוֹהַ
שֶׁקֶר
לא חל על אריחים

-
CVE-2015-2992
-
בינוני
שֶׁקֶר
לתמוכות 2 ליבות

-
CVE-2016-1181
-
גָבוֹהַ
שֶׁקֶר
לא חל על taglib

-
CVE-2016-1182
-
גָבוֹהַ
שֶׁקֶר
לא חל על taglib

מקור: www.habr.com