ProHoster > blog > Amministrazzjoni > DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

L-importanza ta 'analiżi ta' komponenti ta 'softwer ta' partijiet terzi (Software Composition Analysis - SCA) fil-proċess ta 'żvilupp qed tikber bir-rilaxx ta' rapporti annwali dwar il-vulnerabbiltajiet ta 'libreriji ta' sors miftuħ, li huma ppubblikati minn Synopsys, Sonatype, Snyk, White Source. Skont ir-rapport L-Istat tal-Vulnerabbiltajiet tas-Sigurtà ta' Sorsi Miftuħ 2020 in-numru ta 'vulnerabbiltajiet ta' sors miftuħ identifikati fl-2019 żdied kważi 1.5 darbiet meta mqabbel mas-sena ta 'qabel, filwaqt li komponenti ta' sors miftuħ huma użati minn 60% sa 80% tal-proġetti. Fuq bażi indipendenti, il-proċessi SCA huma prattika separata tal-OWASP SAMM u l-BSIMM bħala indikatur tal-maturità, u fl-ewwel nofs tal-2020, l-OWASP ħarġet l-OWASP Software Component Verification Standard (SCVS) il-ġdid, li jipprovdi l-aħjar prattiki għall-verifika ta’ terzi. komponenti tal-parti fil-katina tal-provvista BY.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Wieħed mill-aktar każijiet illustrattivi ġara ma’ Equifax f’Mejju 2017. Attakkanti mhux magħrufa kisbu informazzjoni dwar 143 miljun Amerikan, inklużi ismijiet sħaħ, indirizzi, numri tas-Sigurtà Soċjali u liċenzji tas-sewwieq. F’209 każ, id-dokumenti kienu jinkludu wkoll informazzjoni dwar il-karti bankarji tal-vittmi. Dan it-tnixxija seħħet bħala riżultat tal-isfruttament ta 'vulnerabbiltà kritika f'Apache Struts 000 (CVE-2-2017), filwaqt li t-tiswija ġiet rilaxxata lura f'Marzu 5638. Il-kumpanija kellha xahrejn biex tinstalla l-aġġornament, iżda ħadd ma ddejjaq miegħu.

Dan l-artikolu ser jiddiskuti l-kwistjoni tal-għażla ta 'għodda għat-twettiq ta' SCA mil-lat tal-kwalità tar-riżultati tal-analiżi. Se jiġi pprovdut ukoll paragun funzjonali tal-għodod. Il-proċess ta' integrazzjoni fis-CI/CD u l-kapaċitajiet ta' integrazzjoni se jitħalla għal pubblikazzjonijiet sussegwenti. Firxa wiesgħa ta' għodod ġiet ippreżentata mill-OWASP fuq il-websajt tiegħek, iżda fir-reviżjoni attwali se nmissu biss l-għodda ta 'sors miftuħ l-aktar popolari Iċċekkja tad-Dipendenza, il-pjattaforma ta' sors miftuħ kemmxejn inqas magħrufa Dependency Track u s-soluzzjoni Enterprise Sonatype Nexus IQ. Se nifhmu wkoll kif jaħdmu dawn is-soluzzjonijiet u nqabblu r-riżultati miksuba għal pożittivi foloz.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Prinċipju ta 'operazzjoni

Kontroll tad-Dipendenza hija utilità (CLI, maven, jenkins module, ant) ​​​​li tanalizza fajls tal-proġett, tiġbor biċċiet ta 'informazzjoni dwar dipendenzi (isem tal-pakkett, groupid, titolu tal-ispeċifikazzjoni, verżjoni...), tibni linja CPE (Common Platform Enumeration) , Pakkett URL ( PURL) u jidentifika vulnerabbiltajiet għal CPE/PURL minn databases (NVD, Sonatype OSS Index, NPM Audit API...), u wara jibni rapport ta' darba f'format HTML, JSON, XML...

Ejja nħarsu lejn kif jidher is-CPE:

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

  • Parti: Indikazzjoni li l-komponent jirrelata mal-applikazzjoni (a), is-sistema operattiva (o), il-ħardwer (h) (Meħtieġa)
  • Vendor: Isem tal-Manifattur tal-Prodott (Meħtieġa)
  • Prodott: Isem tal-Prodott (Meħtieġa)
  • Verżjoni: Verżjoni tal-komponent (oġġett skadut)
  • Aġġornament: Aġġornament tal-pakkett
  • Edizzjoni: Verżjoni legacy (oġġett deprekat)
  • Lingwa: Lingwa definita fl-RFC-5646
  • Edizzjoni SW: Verżjoni tas-softwer
  • SW fil-mira: Ambjent tas-softwer li fih jopera l-prodott
  • HW fil-mira: L-ambjent tal-ħardwer li fih jopera l-prodott
  • Oħrajn: Fornitur jew Informazzjoni dwar il-Prodott

Eżempju ta' CPE jidher bħal dan:

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

Il-linja tfisser li l-verżjoni CPE 2.3 tiddeskrivi l-komponent tal-applikazzjoni mill-manifattur pivotal_software bit-titolu spring_framework verżjoni 3.0.0. Jekk niftħu vulnerabbiltà CVE-2014-0225 fl-NVD, nistgħu naraw aċċenn għal dan is-CPE. L-ewwel problema li għandek immedjatament tagħti attenzjoni għaliha hija li CVE f'NVD, skont CPE, jirrapporta problema fil-qafas, u mhux f'komponent speċifiku. Jiġifieri, jekk l-iżviluppaturi jkunu marbutin sewwa mal-qafas, u l-vulnerabbiltà identifikata ma taffettwax dawk il-moduli li jużaw l-iżviluppaturi, speċjalista tas-sigurtà b'xi mod jew ieħor ikollu jiżarma dan is-CVE u jaħseb dwar l-aġġornament.

Il-URL jintuża wkoll mill-għodod SCA. Il-format tal-URL tal-pakkett huwa kif ġej:

scheme:type/namespace/name@version?qualifiers#subpath

  • Skema: Dejjem se jkun hemm 'pkg' li jindika li dan huwa URL tal-pakkett (Meħtieġa)
  • Tip: It-"tip" tal-pakkett jew il-"protokoll" tal-pakkett, bħal maven, npm, nuget, gem, pypi, eċċ. (Oġġett meħtieġ)
  • Ispazju tal-isem: Xi prefiss tal-isem, bħal ID tal-grupp Maven, sid tal-immaġni Docker, utent GitHub, jew organizzazzjoni. Fakultattiv u jiddependi mit-tip.
  • isem: Isem tal-pakkett (Meħtieġa)
  • Verżjoni: Verżjoni tal-pakkett
  • Kwalifikaturi: Dejta ta' kwalifika addizzjonali għall-pakkett, bħal OS, arkitettura, distribuzzjoni, eċċ. Fakultattiv u speċifiku għat-tip.
  • Sottopassaġġ: Mogħdija addizzjonali fil-pakkett relattiva għall-għerq tal-pakkett

Per eżempju:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

Track tad-Dipendenza — pjattaforma tal-web fuq il-post li taċċetta Bill of Materials (BOM) lesta ġġenerata CycloneDX и SPDX, jiġifieri, speċifikazzjonijiet lesti dwar dipendenzi eżistenti. Dan huwa fajl XML li jiddeskrivi d-dipendenzi - isem, hashes, url tal-pakkett, pubblikatur, liċenzja. Sussegwentement, Dependency Track janalizza l-BOM, iħares lejn is-CVEs disponibbli għad-dipendenzi identifikati mid-database tal-vulnerabbiltà (NVD, Sonatype OSS Index...), u wara jibni graffs, jikkalkula metriċi, jaġġorna regolarment id-dejta dwar l-istatus tal-vulnerabbiltà tal-komponenti. .

Eżempju ta' kif tista' tidher BOM f'format XML:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM jista 'jintuża mhux biss bħala parametri ta' input għal Dependency Track, iżda wkoll għall-inventarju tal-komponenti tas-softwer fil-katina tal-provvista, pereżempju, biex jipprovdi softwer lil klijent. Fl-2014, saħansitra ġiet proposta liġi fl-Istati Uniti "Att dwar il-Ġestjoni u t-Trasparenza tal-Katina tal-Provvista Ċibernetika tal-2014", li ddikjarat li meta jixtru softwer, kwalunkwe stat. L-istituzzjoni trid titlob BOM biex tipprevjeni l-użu ta’ komponenti vulnerabbli, iżda l-att għadu ma daħalx fis-seħħ.

Jirritornaw lejn SCA, Dependency Track għandha integrazzjonijiet lesti ma 'Pjattaformi ta' Notifika bħal Slack, sistemi ta 'ġestjoni tal-vulnerabbiltà bħal Kenna Security. Ta’ min jgħid ukoll li Dependency Track, fost affarijiet oħra, tidentifika verżjonijiet skaduti ta’ pakketti u tipprovdi informazzjoni dwar liċenzji (minħabba l-appoġġ tal-SPDX).

Jekk nitkellmu speċifikament dwar il-kwalità ta 'SCA, allura hemm differenza fundamentali.

Dependency Track ma jaċċettax il-proġett bħala input, iżda pjuttost il-BOM. Dan ifisser li jekk irridu nittestjaw il-proġett, l-ewwel għandna bżonn niġġeneraw bom.xml, pereżempju billi tuża CycloneDX. Għalhekk, Dependency Track hija dipendenti direttament fuq CycloneDX. Fl-istess ħin, jippermetti għall-adattament. Dan huwa dak li kiteb it-tim OZON Modulu CycloneDX għall-assemblaġġ ta 'fajls BOM għal proġetti Golang għal aktar skannjar permezz ta' Dependency Track.

Nexus IQ hija soluzzjoni SCA kummerċjali minn Sonatype, li hija parti mill-ekosistema Sonatype, li tinkludi wkoll Nexus Repository Manager. Nexus IQ jista' jaċċetta bħala input kemm arkivji tal-gwerra (għal proġetti java) permezz tal-interface tal-web jew API, kif ukoll BOM, jekk l-organizzazzjoni tiegħek tkun għadha ma inbidlitx minn CycloneDX għal soluzzjoni ġdida. B'differenza mis-soluzzjonijiet ta 'sors miftuħ, IQ jirreferi mhux biss għal CP/PURL għall-komponent identifikat u l-vulnerabbiltà korrispondenti fid-database, iżda jqis ukoll ir-riċerka tiegħu stess, pereżempju, l-isem tal-funzjoni jew klassi vulnerabbli. Il-mekkaniżmi tal-IQ se jiġu diskussi aktar tard fl-analiżi tar-riżultati.

Ejja nġabru fil-qosor xi wħud mill-karatteristiċi funzjonali, u nikkunsidraw ukoll il-lingwi appoġġjati għall-analiżi:

Lingwa
Nexus IQ
Kontroll tad-Dipendenza
Track tad-Dipendenza

Java
+
+
+

C / C ++
+
+
-

C#
+
+
-

.Net
+
+
+

erlang
-
-
+

JavaScript (NodeJS)
+
+
+

PHP
+
+
+

Python
+
+
+

Ruby
+
+
+

Perl
-
-
-

iskala
+
+
+

Għan Ċ
+
+
-

Swift
+
+
-

R
+
-
-

Go
+
+
+

Funzjonalità

Funzjonalità
Nexus IQ
Kontroll tad-Dipendenza
Track tad-Dipendenza

Il-ħila li jiġi żgurat li l-komponenti użati fil-kodiċi tas-sors jiġu ċċekkjati għall-purità liċenzjata
+
-
+

Kapaċità li tiskennja u tanalizza għal vulnerabbiltajiet u l-indafa tal-liċenzja għall-immaġini Docker
+ Integrazzjoni ma 'Clair
-
-

Kapaċità li tikkonfigura politiki ta 'sigurtà biex tuża libreriji ta' sors miftuħ
+
-
-

Kapaċità li tiskennja repożitorji ta' sors miftuħ għal komponenti vulnerabbli
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ Hex, RubyGems, Maven, NPM, Nuget, Pypi

Disponibbiltà ta' grupp ta' riċerka speċjalizzat
+
-
-

Operazzjoni ta 'ċirku magħluq
+
+
+

Użu ta 'databases ta' partijiet terzi
+ Database Sonatype magħluqa
+ Sonatype OSS, Konsulenti Pubbliċi NPM
+ Sonatype OSS, NPM Public Advisors, RetireJS, VulnDB, appoġġ għad-database tal-vulnerabbiltà tagħha stess

Kapaċità li tiffiltra komponenti ta 'sors miftuħ meta tipprova tgħabbi fil-linja ta' żvilupp skont politiki konfigurati
+
-
-

Rakkomandazzjonijiet għall-iffissar ta 'vulnerabbiltajiet, disponibbiltà ta' links għal soluzzjonijiet
+
+- (jiddependi mid-deskrizzjoni fid-databases pubbliċi)
+- (jiddependi mid-deskrizzjoni fid-databases pubbliċi)

Klassifikazzjoni tal-vulnerabbiltajiet misjuba skont is-severità
+
+
+

Mudell ta' aċċess ibbażat fuq ir-rwol
+
-
+

Appoġġ CLI
+
+
+- (għal CycloneDX biss)

Teħid ta' kampjuni/għażla ta' vulnerabbiltajiet skont kriterji definiti
+
-
+

Dashboard skont l-istatus tal-applikazzjoni
+
-
+

Ġenerazzjoni ta' rapporti f'format PDF
+
-
-

Ġenerazzjoni ta' rapporti fil-format JSONCSV
+
+
-

Appoġġ tal-lingwa Russa
-
-
-

Kapaċitajiet ta' integrazzjoni

Integrazzjoni
Nexus IQ
Kontroll tad-Dipendenza
Track tad-Dipendenza

Integrazzjoni LDAP/Active Directory
+
-
+

Integrazzjoni b'sistema ta 'integrazzjoni kontinwa Bambu
+
-
-

Integrazzjoni mas-sistema ta' integrazzjoni kontinwa TeamCity
+
-
-

Integrazzjoni mas-sistema ta' integrazzjoni kontinwa GitLab
+
+- (bħala plugin għal GitLab)
+

Integrazzjoni mas-sistema ta' integrazzjoni kontinwa Jenkins
+
+
+

Disponibbiltà ta' plugins għall-IDE
+ IntelliJ, Eclipse, Visual Studio
-
-

Appoġġ għall-integrazzjoni tad-dwana permezz tas-servizzi tal-web (API) tal-għodda
+
-
+

Kontroll tad-Dipendenza

L-ewwel tibda

Ejja nħaddmu l-Kontroll tad-Dipendenza fuq applikazzjoni deliberatament vulnerabbli DVJA.

Għal dan se nużaw Dipendenza Iċċekkja Maven Plugin:

mvn org.owasp:dependency-check-maven:check

Bħala riżultat, dependency-check-report.html se jidher fid-direttorju tal-mira.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Ejja niftħu l-fajl. Wara informazzjoni fil-qosor dwar in-numru totali ta 'vulnerabbiltajiet, nistgħu naraw informazzjoni dwar vulnerabbiltajiet b'livell għoli ta' Severità u Kunfidenza, li tindika l-pakkett, CPE, u n-numru ta 'CVEs.

Wara tiġi informazzjoni aktar dettaljata, b'mod partikolari l-bażi li fuqha ttieħdet id-deċiżjoni (evidenza), jiġifieri ċertu BOM.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Wara tiġi d-deskrizzjoni CPE, PURL u CVE. Mill-mod, rakkomandazzjonijiet għall-korrezzjoni mhumiex inklużi minħabba l-assenza tagħhom fid-database NVD.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Biex tara b'mod sistematiku r-riżultati tal-iskannjar, tista 'tikkonfigura Nginx b'settings minimi, jew tibgħat id-difetti li jirriżultaw lil sistema ta' ġestjoni tad-difetti li tappoġġja konnetturi għall-Kontroll tad-Dipendenza. Per eżempju, Defect Dojo.

Track tad-Dipendenza

Installazzjoni

Dependency Track, min-naħa tagħha, hija pjattaforma bbażata fuq il-web bi grafika tal-wiri, għalhekk il-kwistjoni urġenti tal-ħażna ta 'difetti f'soluzzjoni ta' parti terza ma tqumx hawn.
L-iskripts appoġġjati għall-installazzjoni huma: Docker, WAR, Executable WAR.

L-ewwel tibda

Immorru għall-URL tas-servizz li qed jaħdem. Aħna nilloggjaw permezz ta' admin/admin, nibdlu l-login u l-password, u mbagħad naslu għad-Dashboard. Il-ħaġa li jmiss li se nagħmlu hija li noħolqu proġett għal applikazzjoni tat-test f'Java fi Home/Proġetti → Oħloq Proġett . Ejja nieħdu d-DVJA bħala eżempju.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Billi Dependency Track jista' jaċċetta biss BOM bħala input, din il-BOM trid tiġi rkuprata. Ejja nieħdu vantaġġ CycloneDX Maven Plugin:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

Aħna nikseb bom.xml u tagħbija l-fajl fil-proġett maħluq DVJA → Dipendenzi → Upload BOM.

Ejja mmorru għall-Amministrazzjoni → Analizzaturi. Aħna nifhmu li għandna biss l-Analizzatur Intern attivat, li jinkludi NVD. Ejja ngħaqqdu wkoll Sonatype OSS Index.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Għalhekk, niksbu l-istampa li ġejja għall-proġett tagħna:

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Ukoll fil-lista tista' ssib vulnerabbiltà waħda applikabbli għal Sonatype OSS:

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Id-diżappunt ewlieni kien li Dependency Track m'għadhiex taċċetta rapporti xml ta' Dependency Check. L-aħħar verżjonijiet appoġġjati tal-integrazzjoni tal-Kontroll tad-Dipendenza kienu 1.0.0 - 4.0.2, filwaqt li jien ittestjajt 5.3.2.

Hawnhekk video (u hawn) meta kien għadu possibbli.

Nexus IQ

L-ewwel tibda

Installazzjoni ta 'Nexus IQ ġej mill-arkivji ta' dokumentazzjoni, iżda bnejna immaġni Docker għal dawn l-għanijiet.

Wara li tidħol fil-console, trid toħloq Organizzazzjoni u Applikazzjoni.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Kif tistgħu taraw, is-setup fil-każ ta 'IQ hija kemmxejn aktar ikkumplikata, għaliex irridu wkoll noħolqu politiki li huma applikabbli għal "stadji" differenti (dev, build, stage, release). Dan huwa meħtieġ biex jimblokka komponenti vulnerabbli hekk kif jimxu permezz tal-pipeline eqreb lejn il-produzzjoni, jew biex jimblokkahom malli jidħlu fin-Nexus Repo meta jitniżżel mill-iżviluppaturi.

Biex tħoss id-differenza bejn is-sors miftuħ u l-intrapriża, ejja nagħmlu l-istess skan permezz ta’ Nexus IQ bl-istess mod permezz ta’ Plugin Maven, li qabel ħoloq applikazzjoni tat-test fl-interface NexusIQ dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

Segwi l-URL għar-rapport iġġenerat fl-interface tal-web IQ:

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Hawnhekk tista' tara l-ksur kollu tal-politika li jindika livelli ta' sinifikat differenti (minn Info għal Kritika tas-Sigurtà). L-ittra D ħdejn il-komponent tfisser li l-komponent huwa Dipendenza Diretta, u l-ittra T ħdejn il-komponent tfisser li l-komponent huwa Dipendenza Transittiva, jiġifieri, huwa tranżittiv.

Mill-mod, ir-rapport Rapport dwar l-Istat tas-Sigurtà ta' Sorsi Miftuħ 2020 minn Snyk jirrapporta li aktar minn 70% tal-vulnerabbiltajiet ta 'sors miftuħ skoperti f'Node.js, Java u Ruby huma f'dipendenzi tranżittivi.

Jekk niftħu wieħed mill-ksur tal-politika Nexus IQ, nistgħu naraw deskrizzjoni tal-komponent, kif ukoll Grafika tal-Verżjoni, li turi l-post tal-verżjoni attwali fil-graff tal-ħin, kif ukoll f'liema punt il-vulnerabbiltà tieqaf tkun vulnerabbli. L-għoli tax-xemgħat fuq il-grafika juri l-popolarità tal-użu ta 'dan il-komponent.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Jekk tmur fit-taqsima tal-vulnerabbiltajiet u tespandi l-CVE, tista 'taqra deskrizzjoni ta' din il-vulnerabbiltà, rakkomandazzjonijiet għall-eliminazzjoni, kif ukoll ir-raġuni għaliex dan il-komponent ġie miksur, jiġifieri, il-preżenza tal-klassi DiskFileitem.class.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Ejja nġabru fil-qosor biss dawk relatati ma 'komponenti Java ta' partijiet terzi, billi tneħħi l-komponenti js. Fil-parentesi nindikaw in-numru ta’ vulnerabbiltajiet li nstabu barra mill-NVD.

Total Nexus IQ:

  • Dipendenzi Skennjati: 62
  • Dipendenzi Vulnerabbli: 16
  • Vulnerabbiltajiet Misjuba: 42 (8 sonatype db)

Kontroll tad-Dipendenza Totali:

  • Dipendenzi Skennjati: 47
  • Dipendenzi Vulnerabbli: 13
  • Vulnerabbiltajiet Misjuba: 91 (14 sonatype oss)

Track tad-Dipendenza Totali:

  • Dipendenzi Skennjati: 59
  • Dipendenzi Vulnerabbli: 10
  • Vulnerabbiltajiet Misjuba: 51 (1 sonatype oss)

Fil-passi li jmiss, aħna se nanalizzaw ir-riżultati miksuba u naraw liema minn dawn il-vulnerabbiltajiet huwa difett reali u liema huwa pożittiv falz.

Ċaħda

Din ir-reviżjoni mhix verità indiskutibbli. L-awtur ma kellux għan li jenfasizza strument separat fl-isfond ta 'oħrajn. L-għan tar-reviżjoni kien li turi l-mekkaniżmi ta' tħaddim tal-għodod tal-SCA u l-modi biex jiġu vverifikati r-riżultati tagħhom.

Tqabbil tar-riżultati

Termini u kundizzjonijiet:

Pożittiv falz għal vulnerabbiltajiet ta' komponenti ta' partijiet terzi huwa:

  • Id-diskrepanza CVE mal-komponent identifikat
  • Pereżempju, jekk tiġi identifikata vulnerabbiltà fil-qafas struts2, u l-għodda tindika komponent tal-qafas struts-madum, li għalih din il-vulnerabbiltà ma tapplikax, allura dan huwa pożittiv falz
  • Id-diskrepanza CVE mal-verżjoni identifikata tal-komponent
  • Pereżempju, il-vulnerabbiltà hija marbuta mal-verżjoni python> 3.5 u l-għodda timmarka l-verżjoni 2.7 bħala vulnerabbli - dan huwa pożittiv falz, peress li fil-fatt il-vulnerabbiltà tapplika biss għall-fergħa tal-prodott 3.x
  • CVE duplikat
  • Pereżempju, jekk l-SCA jispeċifika CVE li jippermetti RCE, allura l-SCA jispeċifika CVE għal dak l-istess komponent li japplika għall-prodotti Cisco affettwati minn dak l-RCE. F'dan il-każ ikun pożittiv falz.
  • Pereżempju, instab CVE f'komponent tal-web tar-rebbiegħa, u wara SCA jindika l-istess CVE f'komponenti oħra tal-Qafas tar-Rebbiegħa, filwaqt li s-CVE m'għandu x'jaqsam xejn ma' komponenti oħra. F'dan il-każ ikun pożittiv falz.

L-oġġett tal-istudju kien il-proġett Open Source DVJA. L-istudju involva biss komponenti java (mingħajr js).

Riżultati fil-qosor

Ejja mmorru direttament għar-riżultati ta 'reviżjoni manwali tal-vulnerabbiltajiet identifikati. Ir-rapport sħiħ għal kull CVE jinsab fl-Appendiċi.

Riżultati fil-qosor għall-vulnerabbiltajiet kollha:

Parametru
Nexus IQ
Kontroll tad-Dipendenza
Track tad-Dipendenza

Vulnerabbiltajiet totali identifikati
42
91
51

Vulnerabbiltajiet identifikati b'mod żbaljat (pożittiv falz)
2 (4.76%)
62 (68,13%)
29 (56.86%)

Ma nstabet l-ebda vulnerabilitajiet rilevanti (negattiv falz)
10
20
27

Sommarju tar-riżultati skont il-komponent:

Parametru
Nexus IQ
Kontroll tad-Dipendenza
Track tad-Dipendenza

Komponenti totali identifikati
62
47
59

Komponenti vulnerabbli totali
16
13
10

Komponenti vulnerabbli identifikati b'mod żbaljat (pożittiv falz)
1
5
0

Komponenti vulnerabbli identifikati b'mod żbaljat (pożittiv falz)
0
6
6

Ejja nibnu graffs viżwali biex nevalwaw il-proporzjon ta 'pożittiv falz u negattiv falz man-numru totali ta' vulnerabbiltajiet. Il-komponenti huma mmarkati orizzontalment, u l-vulnerabbiltajiet identifikati fihom huma mmarkati vertikalment.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Għat-tqabbil, studju simili sar mit-tim Sonatype li ttestja proġett ta 'komponenti 1531 bl-użu ta' OWASP Dependency Check. Kif nistgħu naraw, il-proporzjon tal-istorbju għal reazzjonijiet korretti huwa komparabbli mar-riżultati tagħna.

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti
Sors: www.sonatype.com/why-precision-matters-ebook

Ejja nħarsu lejn xi CVEs mir-riżultati tal-iskannjar tagħna biex nifhmu r-raġuni għal dawn ir-riżultati.

Aktar

No.1

Ejja l-ewwel ħarsa lejn xi punti interessanti dwar il-Sonatype Nexus IQ.

Nexus IQ jindika kwistjoni b'deserialization bil-kapaċità li twettaq RCE fil-Qafas tar-Rebbiegħa diversi drabi. CVE-2016-1000027 fir-rebbiegħa-web:3.0.5 l-ewwel darba, u CVE-2011-2894 fir-rebbiegħa-kuntest:3.0.5 u spring-core:3.0.5. Għall-ewwel, jidher li hemm duplikazzjoni ta' vulnerabbiltà f'diversi CVEs. Minħabba li, jekk tħares lejn CVE-2016-1000027 u CVE-2011-2894 fid-database NVD, jidher li kollox huwa ovvju

Komponent
Vulnerabilità

rebbiegħa-web:3.0.5
CVE-2016-1000027

rebbiegħa-kuntest:3.0.5
CVE-2011-2894

rebbiegħa-qalba:3.0.5
CVE-2011-2894

Deskrizzjoni CVE-2011-2894 minn NVD:
DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Deskrizzjoni CVE-2016-1000027 minn NVD:
DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

CVE-2011-2894 innifsu huwa pjuttost famuż. Fir-rapport Sors Abjad 2011 dan is-CVE kien rikonoxxut bħala wieħed mill-aktar komuni. Id-deskrizzjonijiet għal CVE-2016-100027, fil-prinċipju, huma ftit fl-NVD, u jidher li japplika biss għall-Qafas tar-Rebbiegħa 4.1.4. Ejja nagħtu ħarsa lejn referenza u hawn kollox isir xi ftit jew wisq ċar. Minn Artikoli tenibbli Nifhmu li minbarra l-vulnerabbiltà fil RemoteInvocationSerializingExporter f'CVE-2011-2894, il-vulnerabbiltà hija osservata fi HttpInvokerServiceExporter. Dan huwa dak li jgħidilna Nexus IQ:

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Madankollu, m'hemm xejn bħal dan fl-NVD, u huwa għalhekk li l-Iċċekkja tad-Dipendenza u t-Track tad-Dipendenza jirċievu kull wieħed negattiv falz.

Ukoll mid-deskrizzjoni ta 'CVE-2011-2894 jista' jinftiehem li l-vulnerabbiltà hija tabilħaqq preżenti kemm fir-rebbiegħa-context:3.0.5 kif ukoll fir-rebbiegħa-core:3.0.5. Il-konferma ta’ dan tista’ tinstab f’artiklu mill-persuna li sabet din il-vulnerabbiltà.

No.2

Komponent
Vulnerabilità
Riżultat

struts2-core:2.3.30
CVE-2016-4003
FALZ

Jekk nistudjaw il-vulnerabbiltà CVE-2016-4003, aħna nifhmu li kien iffissat fil-verżjoni 2.3.28, madankollu, Nexus IQ tirrapporta lilna. Hemm nota fid-deskrizzjoni tal-vulnerabbiltà:

DevSecOps: prinċipji ta' tħaddim u tqabbil ta' SCA. L-ewwel parti

Jiġifieri, il-vulnerabbiltà teżisti biss flimkien ma 'verżjoni skaduta tal-JRE, li huma ddeċidew li jwissuna dwarha. Madankollu, inqisu dan il-Pożittiv Falz, għalkemm mhux l-agħar.

# 3

Komponent
Vulnerabilità
Riżultat

xwork-core:2.3.30
CVE-2017-9804
VERU

xwork-core:2.3.30
CVE-2017-7672
FALZ

Jekk inħarsu lejn id-deskrizzjonijiet ta' CVE-2017-9804 u CVE-2017-7672, aħna nifhmu li l-problema hija URLValidator class, b'CVE-2017-9804 li ġej minn CVE-2017-7672. Il-preżenza tat-tieni vulnerabbiltà ma ġġorr l-ebda tagħbija utli għajr il-fatt li s-severità tagħha żdiedet għal Għolja, għalhekk nistgħu nqisuha ħoss bla bżonn.

B'mod ġenerali, ma nstabu ebda pożittivi foloz oħra għal Nexus IQ.

No.4

Hemm diversi affarijiet li jagħmlu l-IQ jispikkaw minn soluzzjonijiet oħra.

Komponent
Vulnerabilità
Riżultat

rebbiegħa-web:3.0.5
CVE-2020-5398
VERU

Is-CVE fl-NVD jiddikjara li japplika biss għall-verżjonijiet 5.2.x qabel 5.2.3, 5.1.x qabel 5.1.13, u verżjonijiet 5.0.x qabel 5.0.16, madankollu, jekk inħarsu lejn id-deskrizzjoni CVE f'Nexus IQ , allura naraw dan li ġej:
Avviż ta' Devjazzjoni Konsultattiva: It-tim tar-riċerka tas-sigurtà ta' Sonatype skopra li din il-vulnerabbiltà ġiet introdotta fil-verżjoni 3.0.2.RELEASE u mhux 5.0.x kif iddikjarat fil-konsulenza.

Dan huwa segwit minn PoC għal din il-vulnerabbiltà, li tiddikjara li hija preżenti fil-verżjoni 3.0.5.

Negattiv falz jintbagħat lil Dependency Check u Dependency Track.

No.5

Ejja nħarsu lejn il-pożittiv falz għall-Kontroll tad-Dipendenza u l-Track tad-Dipendenza.

Il-Kontroll tad-Dipendenza jispikka peress li jirrifletti dawk is-CVEs li japplikaw għall-qafas kollu fl-NVD għal dawk il-komponenti li għalihom dawn is-CVEs ma japplikawx. Dan jikkonċerna CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182, li tiddependi fuq il-kontroll. ” għal struts-taglib:1.3.8 u struts-madum-1.3.8. Dawn il-komponenti m'għandhom x'jaqsmu xejn ma' dak deskritt fis-CVE - ipproċessar tat-talba, validazzjoni tal-paġna, eċċ. Dan minħabba l-fatt li dak li dawn is-CVEs u l-komponenti għandhom komuni huwa biss il-qafas, u huwa għalhekk li Dependency Check qiesha bħala vulnerabbiltà.

L-istess sitwazzjoni hija ma spring-tx:3.0.5, u sitwazzjoni simili ma struts-core:1.3.8. Għal struts-core, Dependency Check u Dependency Track sabu ħafna vulnerabbiltajiet li huma attwalment applikabbli għal struts2-core, li essenzjalment huwa qafas separat. F'dan il-każ, Nexus IQ fehem b'mod korrett l-istampa u fis-CVEs li ħareġ, indika li struts-core kienet waslet fit-tmiem tal-ħajja u kien meħtieġ li timxi għal struts2-core.

No.6

F'xi sitwazzjonijiet, huwa inġust li jiġi interpretat żball ovvju tal-Kontroll tad-Dipendenza u tal-Track tad-Dipendenza. B'mod partikolari CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225, liema Dipendenza Track Check u Dependency Track Check attribwiti għal spring-core:3.0.5 fil-fatt jappartjeni għal spring-web:3.0.5. Fl-istess ħin, xi wħud minn dawn CVEs instabu wkoll minn Nexus IQ, madankollu, IQ identifikathom b'mod korrett għal komponent ieħor. Minħabba li dawn il-vulnerabbiltajiet ma nstabux f'spring-core, ma jistax jiġi argumentat li mhumiex fil-qafas fil-prinċipju u l-għodod open source ġustament irrimarkaw dawn il-vulnerabbiltajiet (li tilfu ftit).

Sejbiet

Kif nistgħu naraw, id-determinazzjoni tal-affidabbiltà tal-vulnerabbiltajiet identifikati permezz ta 'reviżjoni manwali ma tagħtix riżultati mhux ambigwi, u huwa għalhekk li jinqalgħu kwistjonijiet kontroversjali. Ir-riżultati huma li s-soluzzjoni Nexus IQ għandha l-inqas rata pożittiva falza u l-ogħla preċiżjoni.

L-ewwelnett, dan huwa dovut għall-fatt li t-tim Sonatype espandiet id-deskrizzjoni għal kull vulnerabbiltà CVE minn NVD fid-databases tiegħu, u indika l-vulnerabbiltajiet għal verżjoni partikolari tal-komponenti sal-klassi jew il-funzjoni, billi wettaq riċerka addizzjonali (per eżempju , iċċekkja l-vulnerabbiltajiet fuq verżjonijiet tas-softwer eqdem).

Influwenza importanti fuq ir-riżultati għandha wkoll dawk il-vulnerabbiltajiet li ma kinux inklużi fl-NVD, iżda madankollu huma preżenti fid-database Sonatype bil-marka SONATYPE. Skont ir-rapport L-Istat tal-Vulnerabbiltajiet tas-Sigurtà ta' Sorsi Miftuħ 2020 45% tal-vulnerabbiltajiet ta' sors miftuħ skoperti mhumiex irrappurtati lill-NVD. Skont id-database WhiteSource, 29% biss tal-vulnerabbiltajiet kollha tas-sors miftuħ irrappurtati barra mill-NVD jispiċċaw ippubblikati hemmhekk, u għalhekk huwa importanti li tfittex vulnerabbiltajiet f'sorsi oħra wkoll.

Bħala riżultat, il-Kontroll tad-Dipendenza jipproduċi ħafna storbju, nieqes xi komponenti vulnerabbli. Dependency Track jipproduċi inqas storbju u jiskopri numru kbir ta 'komponenti, li ma jweġġax viżwalment l-għajnejn fl-interface tal-web.

Madankollu, il-prattika turi li sors miftuħ għandu jsir l-ewwel passi lejn DevSecOps maturi. L-ewwel ħaġa li għandek taħseb dwarha meta tintegra SCA fl-iżvilupp hija l-proċessi, jiġifieri, taħseb flimkien mal-maniġment u dipartimenti relatati dwar kif għandhom jidhru proċessi ideali fl-organizzazzjoni tiegħek. Jista 'jirriżulta li għall-organizzazzjoni tiegħek, għall-ewwel, il-Kontroll tad-Dipendenza jew il-Track tad-Dipendenza se jkopru l-ħtiġijiet tan-negozju kollha, u s-soluzzjonijiet tal-Intrapriża se jkunu kontinwazzjoni loġika minħabba l-kumplessità dejjem tikber tal-applikazzjonijiet li qed jiġu żviluppati.

Appendiċi A: Riżultati tal-Komponent
Simboli:

  • Vulnerabbiltajiet ta' livell għoli — għoli u kritiku fil-komponent
  • Medju — Vulnerabbiltajiet ta' livell ta' kritika medju fil-komponent
  • VERU — Kwistjoni pożittiva vera
  • FALZ — Kwistjoni pożittiva falza

Komponent
Nexus IQ
Kontroll tad-Dipendenza
Track tad-Dipendenza
Riżultat

dom4j: 1.6.1
Għoli
Għoli
Għoli
VERU

log4j-qalba: 2.3
Għoli
Għoli
Għoli
VERU

log4j: 1.2.14
Għoli
Għoli
-
VERU

komuni-kollezzjonijiet:3.1
Għoli
Għoli
Għoli
VERU

commons-fileupload:1.3.2
Għoli
Għoli
Għoli
VERU

commons-beanutils:1.7.0
Għoli
Għoli
Għoli
VERU

commons-codec:1:10
Medja
-
-
VERU

mysql-connector-java:5.1.42
Għoli
Għoli
Għoli
VERU

rebbiegħa-espressjoni:3.0.5
Għoli
komponent ma nstabx

VERU

rebbiegħa-web:3.0.5
Għoli
komponent ma nstabx
Għoli
VERU

rebbiegħa-kuntest:3.0.5
Medja
komponent ma nstabx
-
VERU

rebbiegħa-qalba:3.0.5
Medja
Għoli
Għoli
VERU

struts2-config-browser-plugin:2.3.30
Medja
-
-
VERU

rebbiegħa-tx:3.0.5
-
Għoli
-
FALZ

struts-qalba:1.3.8
Għoli
Għoli
Għoli
VERU

xwork-core: 2.3.30
Għoli
-
-
VERU

struts2-core: 2.3.30
Għoli
Għoli
Għoli
VERU

struts-taglib:1.3.8
-
Għoli
-
FALZ

struts-madum-1.3.8
-
Għoli
-
FALZ

Appendiċi B: Riżultati ta' Vulnerabbiltà
Simboli:

  • Vulnerabbiltajiet ta' livell għoli — għoli u kritiku fil-komponent
  • Medju — Vulnerabbiltajiet ta' livell ta' kritika medju fil-komponent
  • VERU — Kwistjoni pożittiva vera
  • FALZ — Kwistjoni pożittiva falza

Komponent
Nexus IQ
Kontroll tad-Dipendenza
Track tad-Dipendenza
Severità
Riżultat
Kumment

dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
Għoli
VERU

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
Għoli
VERU

log4j-qalba: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
Għoli
VERU

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
Baxxa
VERU

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
Għoli
VERU

-
CVE-2020-9488
-
Baxxa
VERU

SONATYPE-2010-0053
-
-
Għoli
VERU

komuni-kollezzjonijiet:3.1
-
CVE-2015-6420
CVE-2015-6420
Għoli
FALZ
Duplikati RCE(OSSINDEX)

-
CVE-2017-15708
CVE-2017-15708
Għoli
FALZ
Duplikati RCE(OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
Għoli
VERU

commons-fileupload:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
Għoli
VERU

SONATYPE-2014-0173
-
-
Medja
VERU

commons-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
Għoli
VERU

-
CVE-2019-10086
CVE-2019-10086
Għoli
FALZ
Il-vulnerabbiltà tapplika biss għall-verżjonijiet 1.9.2+

commons-codec:1:10
SONATYPE-2012-0050
-
-
Medja
VERU

mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
Għoli
VERU

CVE-2019-2692
CVE-2019-2692
-
Medja
VERU

-
CVE-2020-2875
-
Medja
FALZ
L-istess vulnerabbiltà bħal CVE-2019-2692, iżda bin-nota "l-attakki jistgħu jkollhom impatt sinifikanti fuq prodotti addizzjonali"

-
CVE-2017-15945
-
Għoli
FALZ
Mhux rilevanti għal mysql-connector-java

-
CVE-2020-2933
-
Baxxa
FALZ
Duplikat ta' CVE-2020-2934

CVE-2020-2934
CVE-2020-2934
-
Medja
VERU

rebbiegħa-espressjoni:3.0.5
CVE-2018-1270
komponent ma nstabx
-
Għoli
VERU

CVE-2018-1257
-
-
Medja
VERU

rebbiegħa-web:3.0.5
CVE-2016-1000027
komponent ma nstabx
-
Għoli
VERU

CVE-2014-0225
-
CVE-2014-0225
Għoli
VERU

CVE-2011-2730
-
-
Għoli
VERU

-
-
CVE-2013-4152
Medja
VERU

CVE-2018-1272
-
-
Għoli
VERU

CVE-2020-5398
-
-
Għoli
VERU
Eżempju illustrattiv favur l-IQ: "It-tim tar-riċerka tas-sigurtà Sonatype skopra li din il-vulnerabbiltà ġiet introdotta fil-verżjoni 3.0.2.RELEASE u mhux 5.0.x kif iddikjarat fil-konsulenza."

CVE-2013-6429
-
-
Medja
VERU

CVE-2014-0054
-
CVE-2014-0054
Medja
VERU

CVE-2013-6430
-
-
Medja
VERU

rebbiegħa-kuntest:3.0.5
CVE-2011-2894
komponent ma nstabx
-
Medja
VERU

rebbiegħa-qalba:3.0.5
-
CVE-2011-2730
CVE-2011-2730
Għoli
VERU

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
Medja
VERU

-
-
CVE-2013-4152
Medja
FALZ
Duplikat tal-istess vulnerabbiltà fir-rebbiegħa-web

-
CVE-2013-4152
-
Medja
FALZ
Il-vulnerabbiltà hija relatata mal-komponent tal-web tar-rebbiegħa

-
CVE-2013-6429
CVE-2013-6429
Medja
FALZ
Il-vulnerabbiltà hija relatata mal-komponent tal-web tar-rebbiegħa

-
CVE-2013-6430
-
Medja
FALZ
Il-vulnerabbiltà hija relatata mal-komponent tal-web tar-rebbiegħa

-
CVE-2013-7315
CVE-2013-7315
Medja
FALZ
MAQSUM minn CVE-2013-4152. + Il-vulnerabbiltà hija relatata mal-komponent tal-web tar-rebbiegħa

-
CVE-2014-0054
CVE-2014-0054
Medja
FALZ
Il-vulnerabbiltà hija relatata mal-komponent tal-web tar-rebbiegħa

-
CVE-2014-0225
-
Għoli
FALZ
Il-vulnerabbiltà hija relatata mal-komponent tal-web tar-rebbiegħa

-
-
CVE-2014-0225
Għoli
FALZ
Duplikat tal-istess vulnerabbiltà fir-rebbiegħa-web

-
CVE-2014-1904
CVE-2014-1904
Medja
FALZ
Il-vulnerabbiltà hija relatata mal-komponent spring-web-mvc

-
CVE-2014-3625
CVE-2014-3625
Medja
FALZ
Il-vulnerabbiltà hija relatata mal-komponent spring-web-mvc

-
CVE-2016-9878
CVE-2016-9878
Għoli
FALZ
Il-vulnerabbiltà hija relatata mal-komponent spring-web-mvc

-
CVE-2018-1270
CVE-2018-1270
Għoli
FALZ
Għall-espressjoni tar-rebbiegħa/messaġġi tar-rebbiegħa

-
CVE-2018-1271
CVE-2018-1271
Medja
FALZ
Il-vulnerabbiltà hija relatata mal-komponent spring-web-mvc

-
CVE-2018-1272
CVE-2018-1272
Għoli
VERU

CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
Medja
VERU

SONATYPE-2015-0327
-
-
Baxxa
VERU

struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
Medja
VERU

rebbiegħa-tx:3.0.5
-
CVE-2011-2730
-
Għoli
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2011-2894
-
Għoli
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2013-4152
-
Medja
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2013-6429
-
Medja
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2013-6430
-
Medja
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2013-7315
-
Medja
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2014-0054
-
Medja
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2014-0225
-
Għoli
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2014-1904
-
Medja
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2014-3625
-
Medja
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2016-9878
-
Għoli
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2018-1270
-
Għoli
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2018-1271
-
Medja
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

-
CVE-2018-1272
-
Medja
FALZ
Il-vulnerabbiltà mhix speċifika għal spring-tx

struts-qalba:1.3.8
-
CVE-2011-5057 (OSSINDEX)

Medja
FASLE
Vulnerabbiltà għal Struts 2

-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
Għoli
FALZ
Vulnerabbiltà għal Struts 2

-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
Medja
FALZ
Vulnerabbiltà għal Struts 2

-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
Għoli
FALZ
Vulnerabbiltà għal Struts 2

CVE-2016-1182
3VE-2016-1182
-
Għoli
VERU

-
-
CVE-2011-5057
Medja
FALZ
Vulnerabbiltà għal Struts 2

-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
Għoli
FALZ
Vulnerabbiltà għal Struts 2

-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
Medja
FALZ
Vulnerabbiltà għal Struts 2

CVE-2015-0899
CVE-2015-0899
-
Għoli
VERU

-
CVE-2012-0394
CVE-2012-0394
Medja
FALZ
Vulnerabbiltà għal Struts 2

-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
Għoli
FALZ
Vulnerabbiltà għal Struts 2

-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
Għoli
FALZ
Vulnerabbiltà għal Struts 2

-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
Għoli
FASLE
Vulnerabbiltà għal Struts 2

-
CVE-2013-2115
CVE-2013-2115
Għoli
FASLE
Vulnerabbiltà għal Struts 2

-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
Għoli
FASLE
Vulnerabbiltà għal Struts 2

-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
Għoli
FASLE
Vulnerabbiltà għal Struts 2

CVE-2014-0114
CVE-2014-0114
-
Għoli
VERU

-
CVE-2015-2992
CVE-2015-2992
Medja
FALZ
Vulnerabbiltà għal Struts 2

-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
Għoli
FALZ
Vulnerabbiltà għal Struts 2

CVE-2016-1181
CVE-2016-1181
-
Għoli
VERU

-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
Għoli
FALZ
Vulnerabbiltà għal Struts 2

xwork-core:2.3.30
CVE-2017-9804
-
-
Għoli
VERU

SONATYPE-2017-0173
-
-
Għoli
VERU

CVE-2017-7672
-
-
Għoli
FALZ
Duplikat ta' CVE-2017-9804

SONATYPE-2016-0127
-
-
Għoli
VERU

struts2-core:2.3.30
-
CVE-2016-6795
CVE-2016-6795
Għoli
VERU

-
CVE-2017-9787
CVE-2017-9787
Għoli
VERU

-
CVE-2017-9791
CVE-2017-9791
Għoli
VERU

-
CVE-2017-9793
-
Għoli
FALZ
Duplikat ta' CVE-2018-1327

-
CVE-2017-9804
-
Għoli
VERU

-
CVE-2017-9805
CVE-2017-9805
Għoli
VERU

CVE-2016-4003
-
-
Medja
FALZ
Applikabbli għal Apache Struts 2.x sa 2.3.28, li hija l-verżjoni 2.3.30. Madankollu, abbażi tad-deskrizzjoni, is-CVE huwa validu għal kwalunkwe verżjoni ta' Struts 2 jekk jintuża JRE 1.7 jew inqas. Jidher li ddeċidew li jerġgħu jassigurawna hawn, iżda aktar jidher qisu FALZ

-
CVE-2018-1327
CVE-2018-1327
Għoli
VERU

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
Għoli
VERU
L-istess vulnerabbiltà li sfruttaw il-hackers tal-Equifax fl-2017

CVE-2017-12611
CVE-2017-12611
-
Għoli
VERU

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
Għoli
VERU

struts-taglib:1.3.8
-
CVE-2012-0394
-
Medja
FALZ
Għal struts2-core

-
CVE-2013-2115
-
Għoli
FALZ
Għal struts2-core

-
CVE-2014-0114
-
Għoli
FALZ
Għal commons-beanutils

-
CVE-2015-0899
-
Għoli
FALZ
Ma japplikax għal taglib

-
CVE-2015-2992
-
Medja
FALZ
Jirreferi għal struts2-core

-
CVE-2016-1181
-
Għoli
FALZ
Ma japplikax għal taglib

-
CVE-2016-1182
-
Għoli
FALZ
Ma japplikax għal taglib

struts-madum-1.3.8
-
CVE-2012-0394
-
Medja
FALZ
Għal struts2-core

-
CVE-2013-2115
-
Għoli
FALZ
Għal struts2-core

-
CVE-2014-0114
-
Għoli
FALZ
Taħt commons-beanutils

-
CVE-2015-0899
-
Għoli
FALZ
Ma japplikax għall-madum

-
CVE-2015-2992
-
Medja
FALZ
Għal struts2-core

-
CVE-2016-1181
-
Għoli
FALZ
Ma japplikax għal taglib

-
CVE-2016-1182
-
Għoli
FALZ
Ma japplikax għal taglib

Sors: www.habr.com

Żid kumment