Synopsysá Sonatypeá Snyk ááŸáá·áº White Source ááá¯á·ááŸáá¯ááºáá±áá±á¬ open source á
á¬ááŒáá·áºááá¯ááºáá»á¬ážá á¡á¬ážáááºážáá»ááºáá»á¬ážááŸáá·áºáááºáááºááŒá®áž ááŸá
áºá
ááºá¡á
á®áááºáá¶á
á¬áá»á¬ážáá¯ááºááŒááºááŒááºážááŒáá·áº ááŒááºááá¯áá¹ááá®áá±á¬á·ááºáá²á¡á
áááºá¡ááá¯ááºážáá»á¬áž (Software Composition Analysis - SCA) áá¡áá±ážáá«ááŸá¯ ááŒá®ážááœá¬ážáá¬áá«áááºá . á¡á
á®áááºáá¶á
á¬á¡á ááááááºá
ááá¯ááºáá±á¬áºááŸá¯ á¡ááŸááá¯á¶áž ááá
á¹á
áá»á¬ážáá²á០áá
áºáá¯
á€áá±á¬ááºážáá«ážááœáẠááœá²ááŒááºážá
áááºááŒá¬ááŸá¯ááááºáá»á¬ážá á¡áááºá¡ááœá±ážááᯠááŸá¯áá±á¬áá·áºá០SCA áá¯ááºáá±á¬ááºááẠáááááá¬ááᯠááœá±ážáá»ááºááŒááºážááá¯ááºáᬠááŒá¿áá¬ááᯠááœá±ážááœá±ážáá«áááºá áááááá¬áá»á¬ážá áá¯ááºáá±á¬ááºáá»ááºááá¯ááºáᬠááŸáá¯ááºážááŸááºáá»ááºááá¯áááºáž áá±ážáá«áááºá CI/CD ááœáẠáá±á«ááºážá
ááºážááŒááºáž áá¯ááºáááºážá
ááºááŸáá·áº áá±á«ááºážá
ááºážááŒááºáž á
áœááºážáááºáá»á¬ážááᯠáá±á¬ááºáááºááœá² áá¯ááºáá±ááŸá¯áá»á¬áž á¡ááœáẠáá»ááºáá¬ážáá²á·áá«áááºá áá»ááºááŒáá·áºáá±á¬áááááá¬áá»á¬ážááᯠOWASP ááŸáááºááŒáá²á·áááºá
áááºááá¯á¡áá¯ááºáá¯ááºáááº
CPE á áááºááá¯áá¯á¶á á¶áá²ááá¯áᬠááŒáá·áºáá¡á±á¬ááºá
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other
- á¡ááá¯ááºáž: á¡á áááºá¡ááá¯ááºážááẠá¡ááá®áá±ážááŸááºáž (á)á áááºáááºááŸá¯á áá Ạ(o)á áá¬á·ááºáá² (á) (ááá¯á¡ááºáááº) ááŸáá·áº áááºááá¯ááºááŒá±á¬ááºáž ááœáŸááºááŒááŒááºážá
- áá±á¬ááºážáá»áá° áá¯ááºáá á¹á ááºážáá¯ááºáá¯ááºáá°á¡ááẠ(ááá¯á¡ááºáááº)
- áá¯ááºáá á¹á ááºáž: áá¯ááºáá á¹á ááºážá¡ááẠ(ááá¯á¡ááºáááº)
- version: á¡á áááºá¡ááá¯ááºážáá¬ážááŸááºáž ( á¡áá¯á¶ážáááŒá¯áá±á¬á·ááá·áºá¡áᬠ)
- á¡ááºááááº: á¡áá¯ááºá¡ááºááááº
- Edition ááá¯: á¡áá±á¬ááºážáá¬ážááŸááºáž (ááá·áºááœááºáá¬ážáá±á¬ á¡áá¬)
- áá¬áá¬á áá¬áž: RFC-5646 ááœáẠáááºááŸááºáá¬ážáá±á¬ áá¬áá¬á áá¬áž
- SW áá¯ááºáá±ááŸá¯- áá±á¬á·ááºáá²áá¬ážááŸááºáž
- áá áºááŸáẠSW- áá¯ááºáá¯ááºáááºáááºáá±ááá·áº áá±á¬á·ááºáá²áááºáááºážáá»ááº
- áá áºááŸáẠHW- áá¯ááºáá¯ááºáááºáááºááá·áº áá¬á·ááºáá²áááºáááºážáá»ááº
- áááºá¡ááŒá¬áž: áá±ážááœááºážáá° ááá¯á·ááá¯áẠáá¯ááºáá¯ááºá¡áá»ááºá¡áááº
á¥ááᬠCPE ááẠá€áá²á·ááá¯á· ááŒá áºáááº-
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
áá»ááºážááẠCPE áá¬ážááŸááºáž 2.3 ááẠáá¯ááºáá¯ááºáá°áá¶á០á¡ááá®áá±ážááŸááºážá¡á
áááºá¡ááá¯ááºážááᯠáá±á¬áºááŒáááºáᯠááá¯ááá¯áááºá pivotal_software
áá±á«ááºážá
ááºááŸáá·áºá¡áá° spring_framework
áá¬ážááŸááºáž 3.0.0 ááœáá·áºááá¯ááºááẠá¡á¬ážáááºážáá»ááºááŸááááºá
URL ááᯠSCA áááááá¬áá»á¬ážááŸáááºáž á¡áá¯á¶ážááŒá¯áá«áááºá áááºáá±á·ááºá» URL áá±á¬áºáááºááŸá¬ á¡á±á¬ááºáá«á¡ááá¯ááºážááŒá áºáááº-
scheme:type/namespace/name@version?qualifiers#subpath
- á¡á á®á¡á ááº- áááºážááẠáááºáá±á·ááºá» URL (ááá¯á¡ááºáááº) ááŒá áºááŒá±á¬ááºáž ááœáŸááºááŒáá±á¬ 'pkg' ááẠá¡ááŒá²ááŸááááá·áºáááº
- á¡áá»áá¯ážá¡á á¬áž: áááºáá±á·áá»áºá "á¡áá»áá¯ážá¡á á¬áž" ááá¯á·ááá¯áẠmavená npmá nugetá áá»á±á¬ááºáá»ááºá pypi á áááºááŒáá·áºá (ááá¯á¡ááºáá±á¬áá á¹á ááºáž)
- Namespace- Maven á¡ááœá²á· IDá Docker áá¯á¶ááá¯ááºááŸááºá GitHub á¡áá¯á¶ážááŒá¯áá° ááá¯á·ááá¯áẠá¡ááœá²á·á¡á ááºážáá²á·ááá¯á· á¡áá»áá¯á·áá±á¬ á¡áááºááŸá±á·áááºá ááœá±ážáá»ááºááá¯ááºáááºááŸáá·áºá¡áá»áá¯ážá¡á á¬ážáá±á«áº áá°áááº.
- á¡áááº: áááºáá±á·áá»áºá¡ááẠ(ááá¯á¡ááºáááº)
- version: Package áá¬ážááŸááºáž
- ááŒá±á á áºááœá²áá»á¬áž- OSá áááá¯áá¬ááá¬á ááŒáá·áºááŒá°ážáá±ážá áááºááŒáá·áº áááºáá±á·áá»áºá¡ááœáẠá¡áááºá¡áá»ááºážááŒáá·áºáá®áá±á¬áá±áá¬á ááœá±ážáá»ááºááá¯ááºáá±á¬ááŸáá·áº á¡áá»áá¯ážá¡á á¬ážá¡ááá¯ááºá
- áááºážááŒá±á¬ááºáž- áááºáá±á·áá»áºá¡ááŒá áºááŸáá·áº áááºá ááºáá±á¬ áááºáá±á·áá»áºááŸá á¡ááá¯áááºážááŒá±á¬ááºáž
á¥ááá¬:
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]
BOM ááẠXML áá±á¬áºáááºááœáẠáááºááá¯á·áááºáá¯á¶ááŸááááºááᯠá¥ááá¬-
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>
BOM ááᯠDependency Track á¡ááœáẠinput parameters áá»á¬ážá¡ááŒá
áºáá¬ááá á¥ááá¬á áá¯á¶ážá
áœá²áá°áá
áºáŠážá¡á¬áž áá±á¬á·ááºáá²ááºáá¶á·ááá¯ážáá±ážáááºá¡ááœáẠáá±á¬ááºáá¶á·ááŸá¯ááœááºážáááºááŸá áá±á¬á·ááºáá²á¡á
áááºá¡ááá¯ááºážáá»á¬ážááᯠá
á¬áááºážááŒá¯á
á¯ááŒááºážá¡ááœááºáááºáž á¡áá¯á¶ážááŒá¯ááá¯ááºáááºá 2014 áá¯ááŸá
áºááœáẠá¡áá±áááááºááŒááºáá±á¬ááºá
á¯áááẠá¥ááá±áá
áºáááºááᯠá¡ááá¯ááŒá¯áá²á·áááºá
SCA ááá¯á· ááŒááºááœá¬ážáááºá ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºážááẠSlack áá²á·ááá¯á·áá±á¬ á¡ááŒá±á¬ááºážááŒá¬ážáá»ááºááááºáá±á¬ááºážáá»á¬ážá Kenna Security áá²á·ááá¯á· á¡á¬ážáááºážáá»áẠá á®áá¶ááá·áºááœá²ááŸá¯á áá áºáá»á¬ážááŸáá·áº á¡áááºááá·áºááŒá¯áá¯ááºáá¬ážáá±á¬ áá±á«ááºážá ááºááŸá¯áá»á¬ážááŸááááºá á¡ááŒá¬ážá¡áá¬áá»á¬ážáá²á០Dependency Track ááẠáá±ááºááá®áá±á¬á·áá±á¬ áááºáá±á·áá»áºáá»á¬ážá áá¬ážááŸááºážáá»á¬ážááᯠááœá²ááŒá¬ážáááºááŸááºááŒá®áž ááá¯ááºá ááºáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážááᯠáá±ážáá±á¬ááºááẠ(SPDX á¡áá±á¬ááºá¡áá¶á·ááŒá±á¬áá·áº) ááŒá áºáááºáá¯áááºáž ááá¯ááá»áá¯ážáááºáááºá
SCA á á¡áááºá¡ááœá±ážá¡ááŒá±á¬ááºáž á¡áá°ážááŒá±á¬áá»áŸáẠá¡ááŒá±áá¶áá»áá±á¬ ááœá¬ááŒá¬ážáá»ááºááŸááá«áááºá
Dependency Track ááẠááá±á¬áá»ááºááᯠááá·áºááœááºážááŸá¯á¡ááŒá
Ạáááºááá¶áá±á¬áºáááºáž BOM á០áááºáá¶áá«áááºá ááá¯ááá¯áááºááŸá¬ áá»áœááºá¯ááºááá¯á·ááẠááá±á¬áá»ááºááᯠá
ááºážáááºááá¯áá«áá á¥ááᬠCycloneDX ááᯠá¡áá¯á¶ážááŒá¯á bom.xml ááᯠáŠážá
áœá¬ áá¯ááºáá¯ááºááẠááá¯á¡ááºáá«áááºá ááá¯á·ááŒá±á¬áá·áº Dependency Track ááẠCycloneDX áá±á«áºááœáẠááá¯ááºááá¯ááºááŸá®ááá¯áá±áá«áááºá áá
áºáá»áááºáááºážááŸá¬áááºá áááºážáááºá
áááºááŒáá¯ááºááŒááºáááºááŸá¯ááá¯ááœáá·áºááŒá¯áááºá OZON á¡ááœá²á· á áá®ááá¯áá±ážáá¬ážáá¬
áá¯ááºáá±á¬ááºááá¯ááºáá±á¬ á¡ááºá¹áá«áááºá¡áá»áá¯á·ááᯠá¡áá»ááºážáá»á¯ááºááŒáá·áºáá¡á±á¬ááºá ááœá²ááŒááºážá áááºááŒá¬áááºá¡ááœáẠáá¶á·ááá¯ážáá±ážáá¬ážáá±á¬ áá¬áá¬á áá¬ážáá»á¬ážááá¯áááºáž ááá·áºááœááºážá ááºážá á¬ážááŒáá«á áá¯á·á
áá¬áá¬á
áá¬áž
Nexus IQ
ááŸá®ááá¯ááŸá¯á
á
áºáá±ážááŒááºážá
ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºáž
áá»á¬áá¬áž
+
+
+
ááᯠC / C ++
+
+
-
C#
+
+
-
.Net
+
+
+
erlang
-
-
+
JavaScript (NodeJS)
+
+
+
PHP ááá¯
+
+
+
Python ááá¯
+
+
+
ááá¹áááŒá¬áž
+
+
+
perl
-
-
-
Scala
+
+
+
áááºááœááºáá»áẠC
+
+
-
ááœá
áºááº
+
+
-
R
+
-
-
Go
+
+
+
áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááá¯
áá¯ááºáá±á¬ááºááá¯ááºá
áœááºážááá¯
Nexus IQ
ááŸá®ááá¯ááŸá¯á
á
áºáá±ážááŒááºážá
ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºáž
á¡áááºážá¡ááŒá
áºáá¯ááºááœáẠá¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ á¡á
áááºá¡ááá¯ááºážáá»á¬ážááᯠááá¯ááºá
ááºá ááá·áºá
ááºááŸá¯ ááŸááááŸá á
á
áºáá±ážááŒá±á¬ááºáž áá±áá»á¬á
á±ááá·áº á
áœááºážáááº
+
-
+
Docker áá¯á¶áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»ááºáá»á¬ážááŸáá·áº ááá¯ááºá
ááºááá·áºááŸááºážááŸá¯á¡ááœáẠá
áááºáááºááŒá®áž ááœá²ááŒááºážá
áááºááŒá¬ááá¯ááºááŸá¯
+ Clair ááŸáá·áºáá±á«ááºážá
ááºááŒááºážá
-
-
open source á
á¬ááŒáá·áºááá¯ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááẠáá¯á¶ááŒá¯á¶áá±ážáá°áá«ááá»á¬ážááᯠááŒááºáááºáááºááŸááºááá¯ááºááŸá¯
+
-
-
á¡á¬ážáááºážáá»ááºááŸááá±á¬ á¡á
áááºá¡ááá¯ááºážáá»á¬ážá¡ááœáẠopen source repositories ááᯠá
áááºááºáááºááá¯ááºááŸá¯
+ RubyGemsá Mavená NPMá Nugetá Pypiá Conaná Bowerá Condaá Goá p2á Rá Yumá Helmá Dockerá CocoaPodsá Git LFS
-
+ Hexá RubyGemsá Mavená NPMá Nugetá Pypi
á¡áá°ážááŒá¯ áá¯áá±ááá¡ááœá²á·á áááŸáááŸá¯
+
-
-
ááœááºážááááºáááºáááºááŸá¯
+
+
+
áááááá«áá®áá±áá¬áá±á·á
áºááá¯á¡áá¯á¶ážááŒá¯ááŒááºážá
+ ááááºáá¬ážáá±á¬ Sonatype áá±áá¬áá±á·á
áº
+ Sonatype OSSá NPM á¡áá»á¬ážáá°ááŸá¬ á¡ááŒá¶áá±ážáá¯áá¹ááá¯ááºáá»á¬áž
+ Sonatype OSSá NPM Public Advisorsá RetireJSá VulnDBá áááºážáááá¯ááºááá¯ááºá¡á¬ážáááºážáá»ááºáá±áá¬áá±á·á
áºá¡ááœááºáá¶á·ááá¯ážááŸá¯
á
á®á
ááºáááºááŸááºáá¬ážáá±á¬ áá°áá«ááá»á¬ážááŸáá·áºá¡áá® ááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯ áááºáááºááŸá¯ááá¯á· áááºááẠááŒáá¯ážá
á¬ážáá±á¬á¡áá«ááœáẠopen source á¡á
áááºá¡ááá¯ááºážáá»á¬ážááᯠá
á
áºáá¯ááºááá¯ááºá
áœááºáž
+
-
-
á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠááŒá¯ááŒááºááẠá¡ááŒá¶ááŒá¯áá»ááºáá»á¬ážá ááŒá¯ááŒááºáááºááá·áºááºáá»á¬áž áááŸáááá¯ááºááŸá¯
+
+- (á¡áá»á¬ážááŒááºáá°áá±áá¬áá±á·á
áºáá»á¬ážááœááºáá±á¬áºááŒáá»ááºáá±á«áºááœááºáá°áááºáááº)
+- (á¡áá»á¬ážááŒááºáá°áá±áá¬áá±á·á
áºáá»á¬ážááœááºáá±á¬áºááŒáá»ááºáá±á«áºááœááºáá°áááºáááº)
ááŒááºážáááºááŸá¯á¡ááá¯áẠááœá±á·ááŸááá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡ááá·áºáááºááŸááºááŒááºážá
+
+
+
á¡áááºážááá¹áá¡ááŒá±áá¶áááºáá±á¬ááºááœáá·áº áá±á¬áºáááº
+
-
+
CLI áá¶á·ááá¯ážááŸá¯
+
+
+- (CycloneDX á¡ááœááºáá¬)
áááºááŸááºáá¬ážáá±á¬ á
á¶ááŸá¯ááºážáá»á¬ážááŸáá·áºá¡áá® á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠááá°áá¬áá°ááŒááºáž/á¡áá»áá¯ážá¡á
á¬ážááœá²ááŒááºážá
+
-
+
áá»áŸá±á¬ááºááœáŸá¬á¡ááŒá±á¡áá±á¡á áááºááŸáºáá¯ááº
+
-
+
á¡á
á®áááºáá¶á
á¬áá»á¬ážááᯠPDF áá±á¬áºáááºááŒáá·áº áá¯ááºáá¯ááºááŒááºážá
+
-
-
á¡á
á®áááºáá¶á
á¬áá»á¬ážááᯠJSONCSV áá±á¬áºáááºááŒáá·áº áá¯ááºáá¯ááºááŒááºážá
+
+
-
áá¯ááŸá¬ážáá¬áá¬á
áá¬ážáá¶á·ááá¯ážááŸá¯
-
-
-
áá±á«ááºážá ááºážááá¯ááºááŸá¯
áá±á«ááºážá
ááºážááŸá¯
Nexus IQ
ááŸá®ááá¯ááŸá¯á
á
áºáá±ážááŒááºážá
ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºáž
LDAP/Active Directory áá±á«ááºážá
ááºááŸá¯
+
-
+
áá±á«ááºážá
ááºážááŒááºáž ááŸáá·áº á
ááºáááºáááŒáẠáá±á«ááºážá
ááºážááŸá¯á
áá
Ạáá«áž
+
-
-
á
ááºáááºáááŒááºáá±á«ááºážá
ááºážááŸá¯á
áá
ẠTeamCity ááŸáá·áºáá±á«ááºážá
ááºážááŒááºážá
+
-
-
á
ááºáááºáááŒááºáá±á«ááºážá
ááºážááŸá¯á
áá
ẠGitLab ááŸáá·áºáá±á«ááºážá
ááºááŒááºážá
+
+- (GitLab á¡ááœáẠááááºá¡ááºáá
áºáá¯á¡ááŒá
áº)
+
á
ááºáááºáááŒááºáá±á«ááºážá
ááºááŸá¯á
áá
ẠJenkins ááŸáá·áºáá±á«ááºážá
ááºážááŒááºážá
+
+
+
IDE á¡ááœáẠááááºá¡ááºáá»á¬áž áááŸáááá¯ááºááŸá¯
+ IntelliJá Eclipseá Visual Studio
-
-
áááááá¬á áááºáááºáá±á¬ááºááŸá¯áá»á¬áž (API) ááŸáá
áºááá·áº á
áááºááŒáá¯ááºáá±á«ááºážá
ááºááŸá¯á¡ááœáẠáá¶á·ááá¯ážááŸá¯
+
-
+
ááŸá®ááá¯ááŸá¯á á áºáá±ážááŒááºážá
áááá¥á®ážáá¯á¶ážá¡ááœááºá·
ááááºááᬠááááá¯ááºááœááºáá±á¬ á¡ááá®áá±ážááŸááºážáá
áºáá¯áá±á«áºááœáẠááŸá®ááá¯ááŸá¯á
á
áºáá±ážááŒááºážááᯠáá¯ááºáá±á¬ááºááŒáá«á
áá¯á·
áá®á¡ááœáẠáá»áœááºáá±á¬áºááá¯á· áá¯á¶ážáááºá
mvn org.owasp:dependency-check-maven:check
ááááºá¡áá±ááŒáá·áºá ááŸá®ááá¯ááŸá¯-á á áºáá±ážááŒááºáž-report.html ááᯠáá áºááŸááºáááºážááœáŸááºááœáẠáá±á«áºáá¬áá«áááºá
ááá¯ááºááá¯ááœáá·áºááŒáá·áºáá¡á±á¬ááºá á¡á¬ážáááºážáá»ááºá
á¯á
á¯áá±á«ááºážá á¡ááŸá
áºáá»á¯ááºá¡áá»ááºá¡áááºáá»á¬ážááŒá®ážáá±á¬ááºá áááºáá±á·áá»áºá CPE ááŸáá·áº CVE á¡áá±á¡ááœááºááá¯á·ááᯠááœáŸááºááŒáá±á¬ ááŒááºážáááºááŸá¯ááŸáá·áº áá¯á¶ááŒááºá
áááºáá»áááŸá¯ ááŒáá·áºáá¬ážáá±á¬á¡ááá·áºááŒáá·áº á¡á¬ážáááºážáá»ááºáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºááᯠáá»áœááºá¯ááºááá¯á· ááŒááºááœá±á·ááá¯ááºáá«áááºá
áá±á¬ááºáá áºáá¯á ááá¯ááŒá®ážá¡áá±ážá áááºá¡áá»ááºá¡áááºá á¡áá°ážáááŒáá·áº áá¯á¶ážááŒááºáá»ááºáá»áá²á·áá²á· á¡ááŒá±áá¶á¡áá»áẠ(á¡áá±á¬ááºá¡áá¬áž) ááŒá áºáá²á· BOM áá áºáá¯áá«á
áá±á¬ááºáá
áºáá¯ááá±á¬á· CPEá PURL áá²á· CVE áá±á¬áºááŒáá»ááºáá«á á
áá¬ážáá
ááºá NVD áá±áá¬áá±á·á
áºááœáẠáááºážááá¯á·á áááŸáááŒááºážááŒá±á¬áá·áº ááŒá¯ááŒááºááŒááºážá¡ááœáẠá¡ááŒá¶ááŒá¯áá»ááºáá»á¬áž ááá«áááºáá«á
á
áááºááºááááºáá»á¬ážááá¯á
áá
áºááá»ááŒáá·áºááŸá¯áááºá áááºááẠá¡áááºážáááºáá»áŸáá±á¬áááºáááºáá»á¬ážááŒáá·áº Nginx ááá¯ááŒááºáááºáááºááŸááºááá¯ááºáááºá ááá¯á·ááá¯áẠáááŸááá¬áá±á¬áá»áá¯á·ááœááºážáá»ááºáá»á¬ážááᯠDependency Check ááá¯á·áá»áááºáááºáá°áá»á¬ážááᯠáá¶á·ááá¯ážáá±ážááá·áº áá»áá¯á·ááœááºážáá»ááºá
á®áá¶ááá·áºááœá²ááŸá¯á
áá
áºááá¯á· áá±ážááá¯á·ááá¯ááºáá«áááºá á¥ááᬠDefect Dojoá
ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºáž
ustanovka
Dependency Track ááẠááŒáááá·áºááááºáá»á¬ážáá«ááŸááá±á¬ áááºá¡ááŒá±áá¶ááááºáá±á¬ááºážáá
áºáá¯ááŒá
áºáá±á¬ááŒá±á¬áá·áº ááŒááºáá¡ááœá²á·á¡á
ááºážááŒá±ááŸááºážáá»ááºáá
áºáá¯ááœáẠáá»áá¯á·ááœááºážáá»ááºáá»á¬ážááᯠááááºážáááºážááŒááºážá¡ááœáẠááá¡á¬ážáá±ážááá·áºááŒá¿áá¬ááŸá¬ á€áá±áá¬ááœáẠáá±á«áºááá¬áá«á
ááá·áºááœááºážááŸá¯á¡ááœáẠáá¶á·ááá¯ážáá±ážáá¬ážáá±á¬ script áá»á¬ážááŸá¬- Dockerá WARá Executable WAR ááŒá
áºáááºá
áááá¥á®ážáá¯á¶ážá¡ááœááºá·
áá»áœááºá¯ááºááá¯á·áááºáááºáá±áá±á¬áááºáá±á¬ááºááŸá¯á URL ááá¯á·ááœá¬ážáá«á áá»áœááºá¯ááºááá¯á·ááẠadmin/admin ááŸáá áºááá·áº áá±á¬á·ááºá¡ááºáááºááŒá®ážá á¡áá±á¬áá·áºáááºááŒááºážááŸáá·áº á áá¬ážááŸááºááᯠááŒá±á¬ááºážáá²ááŒá®ážáá±á¬áẠDashboard ááá¯á·ááœá¬ážáá«á áá±á¬ááºáá áºáá¯ááá±á¬á· Java ááŸá¬ á ááºážáááºáá²á· application áá áºáá¯á¡ááœáẠááá±á¬áá»ááºáá áºáᯠáááºáá®ážáá«á áááºá/ááá±á¬áá»ááºáá»á¬áž â ááá±á¬áá»ááºáááºáá®ážáá«á . DVJA ááᯠá¥ááá¬á¡áá±áá²á· áá°ááŒáá·áºáá¡á±á¬ááºá
Dependency Track ááẠBOM ááᯠááá·áºááœááºážááŸá¯á¡ááŒá
áºáᬠáááºáá¶ááá¯ááºáá±á¬ááŒá±á¬áá·áº ဠBOM ááᯠááŒááºáááºááá°ááá«áááºá á¡ááœáá·áºáá±á¬ááºážáá°ááŒáá«á
áá¯á·
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom
áá»áœááºá¯ááºááá¯á·ááẠbom.xml ááᯠááá°ááŒá®áž áááºáá®ážáá¬ážáá±á¬ ááá±á¬áá»ááºááœáẠááá¯ááºááᯠáááºáá«á DVJA â ááŸá®ááá¯ááŸá¯ â BOM ááᯠá¡ááºáá¯ááºáá¯ááºáá«á.
Administration â Analyzers ááá¯á· ááœá¬ážááŒáá«á áá¯á·á áá»áœááºá¯ááºááá¯á·ááœáẠNVD áá«áááºáá±á¬ Internal Analyzer ááá¯ááœáá·áºáá¬ážáááºáᯠáá»áœááºá¯ááºááá¯á·áá¬ážáááºáá«áááºá Sonatype OSS Index ááá¯áááºáž áá»áááºáááºááŒáá·áºáá¡á±á¬ááºá
ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááẠáá»áœááºá¯ááºááá¯á·á ááá±á¬áá»ááºá¡ááœáẠá¡á±á¬ááºáá±á¬áºááŒáá«áá¯á¶ááᯠáááŸááá«áááºá
á
á¬áááºážááœááºáááºáž Sonatype OSS ááŸáá·áº áááºááá¯ááºáá±á¬ á¡á¬ážáááºážáá»ááºáá
áºáá¯ááᯠááœá±á·ááá¯ááºáááº-
á¡ááá á
áááºáá»ááºáááŒááºážááŸá¬ ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºážááẠááŸá®ááá¯á¡á¬ážáá¬ážááŸá¯ á
á
áºáá±ážááŒááºáž xml á¡á
á®áááºáá¶á
á¬áá»á¬ážááᯠáááºááá¶áá±á¬á·áá«á Dependency Check áá±á«ááºážá
ááºááŸá¯á áá±á¬ááºáá¯á¶ážáá¶á·ááá¯ážáá±ážáá¬ážáá±á¬ áá¬ážááŸááºážáá»á¬ážááŸá¬ 1.0.0 - 4.0.2 ááŒá
áºááŒá®áž áá»áœááºá¯áẠ5.3.2 ááᯠá
ááºážáááºáá±á
ááºá
áá®ááŸá¬
Nexus IQ
áááá¥á®ážáá¯á¶ážá¡ááœááºá·
Nexus IQ ááᯠááá·áºááœááºážááŒááºážááẠáá±á¬áºááœááºážááá¯ááºáá»á¬ážá០áá¬áá«áááºá
ááœááºááá¯ážááºááá¯á· áá±á¬á·ááºá¡ááºáááºááŒá®ážáá±á¬ááºá áááºááẠá¡ááœá²á·á¡á ááºážááŸáá·áº á¡ááá®áá±ážááŸááºážáá áºáᯠáááºáá®ážááẠááá¯á¡ááºáááºá
áááºááœá±á·ááŒááºáááá·áºá¡ááá¯ááºážá IQ áááá
á¹á
áááºááœáẠá
áá
áºááá·áºááœááºážááŸá¯ááẠá¡áááºážáááºááŸá¯ááºááœá±ážáááºá á¡áááºááŒá±á¬áá·áºááá¯áá±á¬áº áá»áœááºá¯ááºááá¯á·ááẠááá°áá®áá±á¬ âá¡ááá·áºáá»á¬ážâ (devá build, stage, release) ááá¯á·á¡ááœáẠáááºááá¯ááºááá·áºáá°áá«ááá»á¬ážááᯠáááºáá®ážáááºááá¯á¡ááºáá±á¬ááŒá±á¬áá·áºááŒá
áºáááºá áá¯ááºáá¯ááºááŸá¯ááŸáá·áºááá¯ááá¯áá®ážáááºáá±á¬ááá¯ááºááá¯ááºážááŸáááá·áº á¡á¬ážáááºážáá±á¬á¡á
áááºá¡ááá¯ááºážáá»á¬ážááᯠááááºááá¯á·ááẠááá¯á·ááá¯áẠáá±á¬á·ááºáá²áá±ážáá¬ážáá°áá»á¬ážááŸáá±á«ááºážáá¯ááºáá¯ááºááá·áºá¡áá« Nexus Repo ááá¯á·áá±á¬ááºááŸááááºááŸáá·áºáááŒáá¯ááºááẠáááºážááá¯á·ááá¯ááááºááá¯á·ááẠááá¯á¡ááºáá«áááºá
open source ááŸáá·áº áá¯ááºáááºážá¡ááŒá¬áž ááŒá¬ážáá¬ážáá»ááºááᯠáá¶á
á¬ážááá¯ááºáááºá Nexus IQ ááŸáááá·áº áá°áá®áá±á¬á
áááºááºááᯠáá¯ááºáá±á¬ááºááŒáá«á
áá¯á· dvja-test-and-compare
:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
IQ áááºá¡ááºáá¬áá±á·á áºááœáẠáá¯ááºáá¯ááºáá¬ážáá±á¬ á¡á á®áááºáá¶á á¬á¡ááœáẠURL ááᯠááá¯ááºáá¬áá«-
á€áá±áá¬ááœáẠááá°áá®áá±á¬ á¡áá±ážáá«ááŸá¯á¡ááá·áºáá»á¬ážááᯠááœáŸááºááŒáá±á¬ áá°áá«ááá»áá¯ážáá±á¬ááºááŸá¯áá»á¬ážá¡á¬ážáá¯á¶ážááᯠ(Info á០Security Critical á¡áá) ááœá±á·ááá¯ááºáá«áááºá á¡á
áááºá¡ááá¯ááºážáá±ážááŸá á¡áá¹ááᬠD ááẠá¡á
áááºá¡ááá¯ááºážá¡á¬áž ááá¯ááºááá¯ááºááŸá®ááá¯ááŸá¯ááŒá
áºááŒá±á¬ááºáž ááŸáá·áº á¡á
áááºá¡ááá¯ááºážááá±ážááŸá á¡áá¹ááᬠT ááẠá¡á
áááºá¡ááá¯ááºážááẠá¡áá°ážá¡ááŒá±á¬ááºážááŸá®ááá¯ááŸá¯ááŒá
áºáááºá ááá¯ááá¯áááºááŸá¬ áááºážááẠá¡áá°ážá¡ááŒá±á¬ááºážááŒá
áºáááºá
á
áá¬ážáá
ááº
Nexus IQ áá°áá«ááá»áá¯ážáá±á¬ááºááŸá¯áá»á¬ážáá²á០áá áºáá¯ááᯠááœáá·áºáá«áá á¡áá»áááºááááºááŸá áááºááŸááá¬ážááŸááºážááááºáá±áá¬ááá¯ááŒáááá·áº á¡á áááºá¡ááá¯ááºážááá±á¬áºááŒáá»ááºá¡ááŒáẠáá¬ážááŸááºážááááºááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŒááºááá¯ááºáááºá áááºážá¡ááŒáẠá¡á¬ážáááºážáá»ááºááẠáááºááá·áºá¡áá»ááºááœáẠáááºááá·áºááœá¬ážááẠá¡á¬ážáááºážáá»ááºááŸááá«á á±á ááááºáá±á«áºááŸá ááá±á¬ááºážááá¯ááºáá»á¬ážá á¡ááŒáá·áºááẠá€á¡á áááºá¡ááá¯ááºážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážá áá±áááºážá á¬ážááŸá¯ááᯠááŒááááºá
á¡áááºá áááºááẠá¡á¬ážáááºážáá»ááºáá»á¬áž ááá¹áááᯠááœá¬ážááŒá®áž CVE ááᯠáá»á²á·ááœááºáá«áá á€á¡á¬ážáááºážáá»ááºá áá±á¬áºááŒáá»ááºá áááºááŸá¬ážááẠá¡ááŒá¶ááŒá¯áá»ááºáá»á¬áž á¡ááŒáẠá€á¡á
áááºá¡ááá¯ááºážááᯠáá»áá¯ážáá±á¬ááºáá²á·ááá·áº á¡ááŒá±á¬ááºážáááºážá ááá¯ááá¯áááºááŸá¬ á¡áááºážá ááŸááá±ááŒááºážááᯠáááºáááºááá¯ááºáááºá DiskFileitem.class
.
js á¡á
áááºá¡ááá¯ááºážáá»á¬ážááᯠáááºááŸá¬ážááŒá®áž Third-party Java á¡á
áááºá¡ááá¯ááºážáá»á¬ážááŸáá·áº áááºááá¯ááºááá·áºá¡áá¬áá»á¬ážááá¯áᬠá¡áá»ááºážáá»á¯ááºááŒáá·áºááŒáá«á
áá¯á·á ááœááºážá¡ááœááºážááœáẠáá»áœááºá¯ááºááá¯á·ááẠNVD ááŒááºáááœáẠááœá±á·ááŸááááá·áº á¡á¬ážáááºážáá»ááºá¡áá±á¡ááœááºááᯠááœáŸááºááŒáá«áááºá
á á¯á á¯áá±á«ááºáž Nexus IQ-
- ááŸá®ááá¯ááŸá¯á áááºááºáááºááŒááºáž- 62
- á¡á¬ážáááºážáá±á¬ ááŸá®ááá¯ááŸá¯- áá
- á¡á¬ážáááºážáá»ááºáá»á¬áž ááœá±á·ááŸááááº- 42 (8 sonatype db)
á á¯á á¯áá±á«ááºáž ááŸá®ááá¯ááŸá¯ á á áºáá±ážáá»ááº-
- ááŸá®ááá¯ááŸá¯á áááºááºáááºááŒááºáž- 47
- á¡á¬ážáááºážáá±á¬ ááŸá®ááá¯ááŸá¯- áá
- á¡á¬ážáááºážáá»ááºáá»á¬áž ááœá±á·ááŸááááº- 91 (14 sonatype oss)
á á¯á á¯áá±á«ááºážááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºáž-
- ááŸá®ááá¯ááŸá¯á áááºááºáááºááŒááºáž- 59
- á¡á¬ážáááºážáá±á¬ ááŸá®ááá¯ááŸá¯- áá
- á¡á¬ážáááºážáá»ááºáá»á¬áž ááœá±á·ááŸááááº- 51 (1 sonatype oss)
áá±á¬ááºá¡ááá·áºáá»á¬ážááœáẠáá»áœááºá¯ááºááá¯á·ááẠáááŸááá¬áá±á¬ááááºáá»á¬ážááᯠááœá²ááŒááºážá áááºááŒá¬ááŒá®áž á¡ááá¯áá«á¡á¬ážáááºážáá»ááºáá»á¬ážáá²á០áááºááá·áºáá»áá¯á·ááœááºážáá»ááºááẠáááá·áºáá»áá¯á·ááœááºážáá»ááºááŒá áºááŒá®áž áááºááá·áºá¡áá¬ááẠááŸá¬ážááœááºážáá±á¬á¡ááŒá¯ááá±á¬ááŒá áºáááºááᯠááŸá¬ááœá±áá±á¬áºáá¯ááºáá«áááºá
ááŸááºážáááºážáá»ááº
á€áá¯á¶ážáááºáá»ááºááẠááŒááºážáá¯á¶ááá¯ááºáá±á¬ á¡ááŸááºááá¬ážáá áºáá¯ááá¯ááºáá«á á á¬áá±ážáá°ááẠá¡ááŒá¬ážáá°áá»á¬ážááá±á¬ááºáá¶ááŸáá·áº ááá·áºáá»ááºááẠáá®ážááŒá¬ážáá°áááá¬áá áºáá¯ááᯠáá®ážáá±á¬ááºážááá¯ážááŒááẠáááºááŸááºážáá»ááºáááŸááá±á ááŒááºáááºáá¯á¶ážáááºááŒááºážáá¡áá»ááºááŸá¬ SCA áááááá¬áá»á¬ážá áááºáááºááŸá¯ááá¹ááá¬ážáá»á¬ážááŸáá·áº áááºážááá¯á·áááááºáá»á¬ážááᯠá á áºáá±ážáááºáááºážáááºážáá»á¬ážááᯠááŒááááºááŒá áºáááºá
ááááºáá»á¬ážááá¯ááŸáá¯ááºážááŸááº
á ááºážáá»ááºážá ááºážáááºážáá»á¬ážááŸááºá·á¡ááœá¡á±áááŒá±á¬áž:
Third-party á¡á áááºá¡ááá¯ááºáž á¡á¬ážáááºážáá»ááºáá»á¬ážá¡ááœáẠfalse positive ááŸá¬-
- CVE ááẠáááºááŸááºáá¬ážáá±á¬ á¡á áááºá¡ááá¯ááºážááŸáá·áº áááá¯ááºáá®áá«á
- á¥ááá¬á¡á¬ážááŒáá·áºá struts2 framework ááœáẠá¡á¬ážáááºážáá»ááºáá áºáá¯á¡á¬áž áá±á¬áºáá¯ááºááœá±á·ááŸááá«áá tool ááẠstruts-tiles framework á á¡á áááºá¡ááá¯ááºážáá áºáá¯ááá¯á· ááœáŸááºááŒáá±áá»áŸááºá á€á¡á¬ážáááºážáá»ááºááẠá¡áá¯á¶ážáááŒá¯ááá¯ááºáá±á¬á áááºážááẠfalse positive ááŒá áºáááºá
- CVE ááẠá¡á áááºá¡ááá¯ááºážá áá±á¬áºáá¯ááºáá¬ážáá±á¬áá¬ážááŸááºážááŸáá·áº áááá¯ááºáá®áá«á
- á¥ááá¬á¡á¬ážááŒáá·áºá á¡á¬ážáááºážáá»ááºááᯠpython áá¬ážááŸááºáž > 3.5 ááŸáá·áº áá»áááºáááºáá¬ážááŒá®áž tool ááẠáá¬ážááŸááºáž 2.7 ááᯠá¡á¬ážáááºážáá»ááºá¡ááŒá Ạá¡ááŸááºá¡áá¬ážááŒá¯áá¬ážááẠ- á¡ááŸááºááŸá¬ á¡á¬ážáááºážáá»ááºááẠ3.x áá¯ááºáá¯ááºáá¬áááœá²ááŸáá·áºáᬠáááºááá¯ááºáá±á¬ááŒá±á¬áá·áºá áááºážááẠááŸá¬ážááœááºážáá±á¬á¡ááŒá¯ááá±á¬áá áºáá¯ááŒá áºáááºá
- CVE ááᯠááœá¬ážáá«á
- á¥ááá¬á¡á¬ážááŒáá·áºá SCA ááẠRCE ááá¯ááœáá·áºáá±ážááá·áº CVE ááá¯áááºááŸááºáá«áá SCA ááẠááᯠRCE ááŸáááºáá±á¬ááºááŸá¯ááŸááá±á¬ Cisco áá¯ááºáá¯ááºáá»á¬ážááŸáá·áºáááºááá¯ááºááá·áº á¡áá¬ážáá°á¡á áááºá¡ááá¯ááºážá¡ááœáẠCVE ááᯠáááºááŸááºáá±ážáááºá á€ááá á¹á ááœááºáááºážááẠfalse positive ááŒá áºáááá·áºáááºá
- á¥ááá¬á¡á¬ážááŒáá·áºá CVE ááẠá¡ááŒá¬ážáá±á¬ á¡á áááºá¡ááá¯ááºážáá»á¬ážááŸáá·áº áá¬ááŸáááá¯ááºáá±á¬áºáááºáž SCA ááẠSpring Framework á á¡ááŒá¬ážáá±á¬ á¡á áááºá¡ááá¯ááºážáá»á¬ážááœáẠáá°áá®áá±á¬ CVE ááᯠááœáŸááºááŒááŒá®ážáá±á¬áẠCVE ááᯠá áááááºááẠá¡á áááºá¡ááá¯ááºážáá áºáá¯ááœáẠááœá±á·ááŸááá²á·áááºá á€ááá á¹á ááœááºáááºážááẠfalse positive ááŒá áºáááá·áºáááºá
áá±á·áá¬ááŸá¯ááááºááœááºáá»ááºááŸá¬ Open Source ááá±á¬áá»áẠDVJA ááŒá áºáááºá áá±á·áá¬ááŸá¯ááœáẠjava á¡á áááºá¡ááá¯ááºážáá»á¬áž (js ááá«áá±á¬) áá»á¬ážáᬠáá«áááºáá²á·áááºá
á¡ááŸá áºáá»á¯ááºááááºáá»á¬áž
áá±á¬áºáá¯ááºáá¬ážáá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠááá¯ááºááá¯ááºááŒááºáááºáá¯á¶ážáááºááŒááºážá ááááºáá®ááá¯á· ááá¯ááºááá¯ááºááœá¬ážááŒáá«á áá¯á·á CVE áá áºáá¯á á®á¡ááœáẠá¡á á®áááºáá¶á á¬á¡ááŒáá·áºá¡á á¯á¶ááᯠáá±á¬ááºáááºááœá²ááœáẠááœá±á·ááŸáááá¯ááºáá«áááºá
á¡á¬ážáááºážáá»ááºá¡á¬ážáá¯á¶ážá¡ááœáẠá¡áá»ááºážáá»á¯ááºááááºáá»á¬áž-
parameter áááº
Nexus IQ
ááŸá®ááá¯ááŸá¯á
á
áºáá±ážááŒááºážá
ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºáž
á
á¯á
á¯áá±á«ááºáž á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠáá±á¬áºáá¯ááºáá²á·áááºá
42
91
51
ááŸá¬ážááœááºážá
áœá¬ áá±á¬áºáá¯ááºáá¬ážáá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬áž (false positive)
2 (4.76%)
62 (68,13%)
29 (56.86%)
áááºááá¯ááºáᬠá¡á¬ážáááºážáá»ááºáá»á¬áž áááœá±á·ááŸáááá« (false negative)
10
20
27
á¡á áááºá¡ááá¯ááºážá¡ááá¯áẠááááºá¡áá»ááºážáá»á¯ááº-
parameter áááº
Nexus IQ
ááŸá®ááá¯ááŸá¯á
á
áºáá±ážááŒááºážá
ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºáž
á
á¯á
á¯áá±á«ááºáž á¡á
áááºá¡ááá¯ááºážáá»á¬ážááᯠáá±á¬áºáá¯ááºáá²á·áááºá
62
47
59
á
á¯á
á¯áá±á«ááºáž á¡á¬ážáááºážáá»ááºááŸááá±á¬ á¡á
áááºá¡ááá¯ááºážáá»á¬áž
16
13
10
ááŸá¬ážááœááºážá
áœá¬áááºááŸááºáá¬ážáá±á¬ ááááá¯ááºááœááºáá±á¬á¡á
áááºá¡ááá¯ááºážáá»á¬áž (false positive)
1
5
0
ááŸá¬ážááœááºážá
áœá¬áááºááŸááºáá¬ážáá±á¬ ááááá¯ááºááœááºáá±á¬á¡á
áááºá¡ááá¯ááºážáá»á¬áž (false positive)
0
6
6
á¡á¬ážáááºážáá»ááºáá»á¬ážá á á¯á á¯áá±á«ááºážá¡áá±á¡ááœááºááŸáá·áº ááŸá¬ážááœááºážáá±á¬ á¡ááŒá¯ááá±á¬ááŸáá·áº ááŸá¬ážááœááºážáá±á¬ á¡áá¯ááºááá¹ááá¬á¡áá»áá¯ážááᯠá¡áá²ááŒááºááẠá¡ááŒááºá¡á¬áá¯á¶ááááºáá»á¬áž áááºáá±á¬ááºááŒáá«á áá¯á·á á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠá¡áá»á¬ážááá¯áẠá¡ááŸááºá¡áá¬ážááŒá¯áá¬ážááŒá®áž áááºážááá¯á·ááœáẠááœá±á·ááŸáááá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠáá±á«ááºááá¯áẠááŸááºáá¬ážáá¬ážáááºá
ááŸáá¯ááºážááŸááºááŸá¯á¡ááœááºá OWASP ááŸá®ááá¯ááŸá¯á
á
áºáá±ážááŒááºážááᯠá¡áá¯á¶ážááŒá¯á á¡á
áááºá¡ááá¯ááºáž 1531 ááá±á¬áá»ááºáá
áºáá¯á¡á¬áž Sonatype á¡ááœá²á·á០á
ááºážáááºááŒááºážááŒá¯áá¯ááºáá²á·áááºá áá»áœááºá¯ááºááá¯á·ááŒááºááá¯ááºáááºá¡ááá¯ááºážá ááŸááºáááºáá±á¬áá¯á¶á·ááŒááºááŸá¯áá»á¬ážááŸáá·áº áá°áá¶áá¶á¡áá»áá¯ážááẠáá»áœááºá¯ááºááá¯á·áááááºáá»á¬ážááŸáá·áº ááŸáá¯ááºážááŸááºááá¯ááºáááºá
source:
á€ááááºáá»á¬ážááᯠáá¬ážáááºááẠáá»áœááºá¯ááºááá¯á·áá áááºááºááááºáá»á¬ážá០á¡áá»áá¯á·áá±á¬ CVE áá»á¬ážááᯠááŒáá·áºááŒáá«á áá¯á·á
ááá¯áá»á¬ážáá±á¬
â1
Sonatype Nexus IQ ááŸáá·áºáááºáááºáá±á¬ á áááºáááºá á¬ážááœááºá¡áá»ááºá¡áá»áá¯á·ááᯠáŠážá áœá¬ááŒáá·áºááŒáá«á áá¯á·á
Nexus IQ ááẠSpring Framework ááœáẠRCE áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááŸáá·áº deserialization ááŸáá·áº áááºáááºá á¡ááŒáááºáá»á¬ážá áœá¬ ááœáŸááºááŒáá«áááºá Spring-web-2016 ááœáẠCVE-1000027-3.0.5 áááá¡ááŒáááºá ááŸáá·áº CVE-2011-2894 in spring-context:3.0.5 ááŸáá·áº spring-core:3.0.5á á¡á ááá¯ááºážááœááºá CVE á¡áá»á¬ážá¡ááŒá¬ážááœáẠá¡á¬ážáááºážáá»ááºáá áºáᯠáááºáá°ááŸááá±áá¯á¶áá±á«áºáááºá á¡áááºááŒá±á¬áá·áºááá¯áá±á¬áºá áááºááẠNVD áá±áá¬áá±á·á áºááŸá CVE-2016-1000027 ááŸáá·áº CVE-2011-2894 ááá¯ááŒáá·áºáá»áŸáẠá¡áá¬á¡á¬ážáá¯á¶ážááẠáááá¬áááºááŸá¬ážáá±áá¯á¶ááááºá
á¡á
áááºá¡ááá¯ááºáž
á¡á¬ážáááºážáá»ááº
spring-web-3.0.5
CVE-2016-1000027
Spring-context-3.0.5
CVE-2011-2894
spring-core-3.0.5
CVE-2011-2894
áá±á«áºááŒáá»ááº
áá±á«áºááŒáá»ááº
CVE-2011-2894 ááá¯ááºááá¯ááºá áá±á¬áºáá±á¬áºáá¬áááºááŒá®ážáááºá á¡á
á®áááºáá¶á
á¬áá²ááŸá¬ RemoteInvocationSerializingExporter
CVE-2011-2894 ááœáẠá¡á¬ážáááºážáá»ááºááᯠá
á±á¬áá·áºááŒáá·áºáá±á·áá¬áá«áááºá HttpInvokerServiceExporter
. á€áááºááŸá¬ Nexus IQ á áá»áœááºá¯ááºááá¯á·ááᯠááŒá±á¬ááŒáááº-
ááá¯á·áá±á¬áºá NVD ááœáẠá€áá²á·ááá¯á· áá
áºá
á¯á¶áá
áºáá¯áá»áŸ áááŸááá«á ááá¯á·ááŒá±á¬áá·áº ááŸá®ááá¯á¡á¬ážáá¬ážááŸá¯ á
á
áºáá±ážááŒááºážááŸáá·áº ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºážáá
áºáá¯á
á®ááẠááŸá¬ážááœááºážáá±á¬ á¡áá¯ááºááá¹ááá¬ááᯠáááŸáá
á±áááºá
CVE-2011-2894 ááá±á¬áºááŒáá»ááºááŸáááºáž á¡á¬ážáááºážáá»ááºááẠspring-context-3.0.5 ááŸáá·áº spring-core:3.0.5 ááŸá áºáá»áá¯ážáá¯á¶ážááœáẠá¡ááŸááºááááºááŸááá±ááŒá±á¬ááºáž áá¬ážáááºááá¯ááºáá«áááºá á€á¡á¬ážáááºážáá»ááºááᯠááœá±á·ááŸááá°áá¶á០áá±á¬ááºážáá«ážáá áºáá¯ááºááœáẠá€á¡áá¬ááᯠá¡áááºááŒá¯áá»ááºááᯠááœá±á·ááŸáááá¯ááºáááºá
â2
á¡á
áááºá¡ááá¯ááºáž
á¡á¬ážáááºážáá»ááº
ááááº
struts2-core-2.3.30
CVE-2016-4003
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»áẠCVE-2016-4003 ááᯠáá±á·áá¬áá«á áááºážááᯠáá¬ážááŸááºáž 2.3.28 ááœáẠááŒá¯ááŒááºáá¬ážááŒá±á¬ááºáž áá»áœááºá¯ááºááá¯á· áá¬ážáááºááá¯ááºáá±á¬áºáááºáž Nexus IQ á áááºážááᯠáá»áœááºá¯ááºááá¯á·áᶠáááºááŒáá«áááºá á¡á¬ážáááºážáá»ááºáá±á¬áºááŒáá»ááºááœáẠááŸááºá á¯áá áºáá¯áá«ááŸááááº-
ááá¯ááá¯áááºááŸá¬á áááºážááá¯á·ááẠáá»áœááºá¯ááºááá¯á·á¡á¬áž ááááá±ážááẠáá¯á¶ážááŒááºáá¬ážááá·áº JRE á áá±ááºááá®áá±á¬áá¬ážááŸááºážááŸáá·áºáᬠá¡á¬ážáááºážáá»ááºááŸááá±áá«áááºá áááºááá¯á·áááºááá¯á
á±áá¬áá°á á¡ááá¯ážáá¯á¶ážááá¯ááºáá±á¬áºáááºážá ဠFalse Positive ááᯠáá»áœááºá¯ááºááá¯á·áá°ááá«áááºá
á¡ááŸáẠááá
á¡á
áááºá¡ááá¯ááºáž
á¡á¬ážáááºážáá»ááº
ááááº
xwork-core-2.3.30
CVE-2017-9804
TRUE
xwork-core-2.3.30
CVE-2017-7672
á¡áá¯á¡áá±á¬áá»
CVE-2017-9804 ááŸáá·áº CVE-2017-7672 ááá±á¬áºááŒáá»ááºáá»á¬ážááá¯ááŒáá·áºáá»áŸááºá ááŒá¿áá¬ááŒá
áºáááºááá¯áá»áœááºá¯ááºááá¯á·áá¬ážáááºáááºááŒá
áºáá«áááºá URLValidator class
CVE-2017-9804 ááŒáá·áº CVE-2017-7672 á០á¡áááºážá¡ááŸá®ážá áá¯ááá á¡á¬ážáááºážáá»ááºááŸááá±ááŒááºážááẠáááºážáááŒááºážáááºááŸá¯ á¡ááŒáá·áºáá¯á¶ážá¡áá ááá¯ážáá¬áá±á¬ááŒá±á¬áá·áº áááá¯á¡ááºáá±á¬ áá°áá¶áá¶ááŸááœá²á á¡ááŒá¬ážá¡áá¯á¶ážáááºáá±á¬áááºááᯠááááºáá±á¬ááºááá¯ááºáá«á
áá±áá°áá»á¡á¬ážááŒáá·áº Nexus IQ á¡ááœáẠá¡ááŒá¬ážáá±á¬ ááŸá¬ážááœááºážáá±á¬ á¡ááŒá¯ááá±á¬áá»á¬ážááᯠááŸá¬áááœá±á·áá«á
â4
IQ ááᯠá¡ááŒá¬ážááŒá±ááŸááºážáááºážáá»á¬ážááẠáá°ážáá°ážááŒá¬ážááŒá¬ážááŒá áºá á±áá±á¬ á¡áá¬áá»á¬ážá áœá¬ááŸááááºá
á¡á
áááºá¡ááá¯ááºáž
á¡á¬ážáááºážáá»ááº
ááááº
spring-web-3.0.5
CVE-2020-5398
TRUE
NVD ááŸá CVE ááẠ5.2 áááá¯ááºáá® 5.2.3.x á 5.1 áááá¯ááºáá® 5.1.13.x ááŸáá·áº 5.0 áááá¯ááºáá® 5.0.16.x ááŸáá·áº XNUMX áááá¯ááºáá® XNUMX.x áá¬ážááŸááºážáá»á¬ážááŸáá·áºáᬠáááºááá¯ááºááŒá±á¬ááºážáá±á¬áºááŒáá¬ážáááºá ááá¯á·áá±á¬áºá áá»áœááºá¯ááºááá¯á·ááẠNexus IQ ááŸá CVE áá±á¬áºááŒáá»ááºááá¯ááŒáá·áºáá»áŸáẠááá¯á·áá±á¬áẠá¡á±á¬ááºáá«ááá¯á·ááᯠááœá±á·ááá«áááºá
á¡ááŒá¶áá±ážááœá±áááºááŸá¯ááááá±ážáá»ááº- Sonatype áá¯á¶ááŒá¯á¶áá±ážáá¯áá±ááá¡ááœá²á·á០á€á¡á¬ážáááºážáá»ááºááᯠáá¬ážááŸááºáž 3.0.2.RELEASE ááœáẠááááºáááºáá²á·ááŒá®áž 5.0.x ááá¯ááºáá² á¡ááŒá¶áá±ážáá»ááºááœááºáá±á¬áºááŒáá¬ážááá·áºá¡ááá¯ááºážááá¯ááºááŒá±á¬ááºáž ááœá±á·ááŸááá²á·áááºá
áááºážááẠáá¬ážááŸááºáž 3.0.5 ááœáẠááŸááá±ááŒá±á¬ááºáž áá±á¬áºááŒáá¬ážááá·áº á€á¡á¬ážáááºážáá»ááºá¡ááœáẠPoC ááŒáá·áº ááá¯ááºáá¬áááºá
ááŸá¬ážááœááºážáá±á¬á¡áá¯ááºááᯠááŸá®ááá¯ááŸá¯á á áºáá±ážááŒááºážááŸáá·áº ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºážááá¯á· áá±ážááá¯á·áááºá
â5
Dependency Check and Dependency Track á¡ááœáẠfalse positive ááᯠááŒáá·áºááŒáá«á áá¯á·á
Dependency Check ááẠNVD ááŸá áá°áá±á¬ááºáá áºáá¯áá¯á¶ážááŸáá·áº áááºááá¯ááºááá·áº CVE áá»á¬ážááᯠဠCVE áá»á¬áž ááááºááá¯ááºááá·áº á¡á áááºá¡ááá¯ááºážáá»á¬ážááá¯á· áá±á¬ááºááŒááºáááºááŒááºážááŸá¬ áááºááŸá¬ážáááºá áááºážááẠCVE-2012-0394á CVE-2013-2115á CVE-2014-0114á CVE-2015-0899á CVE-2015-2992á CVE-2016-1181á CVE-2016-1182 ááá¯á·ááᯠááŸá®ááá¯áá±ááá±á¬ á á áºáá±ážááŸá¯áá»á¬ážááŸáá·áº áááºááá¯ááºáá«áááºá â to struts-taglib:1.3.8 ááŸáá·áº struts-tiles-1.3.8á á€á¡á áááºá¡ááá¯ááºážáá»á¬ážááẠCVE ááœááºáá±á¬áºááŒáá¬ážááá·áºá¡áá¬áá»á¬ážááŸáá·áº ááááºááá¯ááºáá« - áá±á¬ááºážááá¯ááŸá¯áá¯ááºáá±á¬ááºááŒááºážá á á¬áá»ááºááŸá¬á¡áááºááŒá¯ááŒááºážá áááºááŒáá·áº áááºááá¯ááºáá«áááºá ဠCVE áá»á¬áž ááŸáá·áº á¡á áááºá¡ááá¯ááºážáá»á¬áž áá°áá®ááá·áºá¡áá»ááºááŸá¬ áá°áá±á¬ááºáá»á¬ážáá¬ááŒá áºááẠá ááá¯á·ááŒá±á¬áá·áº Dependency Check ááẠáááºážááᯠá¡á¬ážáááºážáá»ááºáᯠáá°ááá±á¬ááŒá±á¬áá·áºááŒá áºáááºá
á¡áá¬ážáá°á¡ááŒá±á¡áá±ááẠspring-tx:3.0.5 ááŸáá·áº struts-core:1.3.8 ááŸáá·áº á¡áá¬ážáá°á¡ááŒá±á¡áá±ááŒá áºáááºá struts-core á¡ááœááºá ááŸá®ááá¯ááŸá¯á á áºáá±ážááŒááºážááŸáá·áº ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºážááẠstruts2-core ááŸáá·áº á¡ááŸááºááááºáááºááá¯ááºááá·áº á¡á¬ážáááºážáá»ááºáá»á¬ážá áœá¬ááᯠááœá±á·ááŸááá¬ážááŒá®ážá á¡ááŒá±áá¶á¡á¬ážááŒáá·áº áá®ážááŒá¬ážáá°áá±á¬ááºáá áºáá¯ááŒá áºááá·áº struts2-core ááŸáá·áº á¡ááŸááºááááºáááºááá¯ááºáááºá á€ááá á¹á ááœááºá Nexus IQ ááẠáá¯ááºáá¯á¶á¡á¬áž ááŸááºáááºá áœá¬ áá¬ážáááºááŒá®áž áááºážáá¯ááºáá±ážááá·áº CVE áá»á¬ážááœáẠstruts-core ááẠáááá¡áá¯á¶ážááá¯á·áá±á¬ááºááŸáááŒá®áž strutsXNUMX-core ááá¯á·ááŒá±á¬ááºážááẠááá¯á¡ááºááŒá±á¬ááºáž ááœáŸááºááŒáá«áááºá
â6
á¡áá»áá¯á·áá±á¬á¡ááŒá±á¡áá±áá»á¬ážááœááºá áááá¬áááºááŸá¬ážáá±á¬ ááŸá®ááá¯ááŸá¯á á áºáá±ážááŒááºážááŸáá·áº ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºážá¡ááŸá¬ážááᯠá¡áááá¹áá¬ááºááœáá·áºááá¯ááŒááºážááẠááá¬ážáá»áŸáááŸá¯áááŸááá«á á¡áá°ážáááŒáá·áº CVE-2013-4152á CVE-2013-6429á CVE-2013-6430á CVE-2013-7315á CVE-2014-0054á CVE-2014-0225á CVE-2014-0225á ááŸá®ááá¯ááŸá¯ááŸáá·áº ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºáž spring-core:3.0.5 ááá¯á·áááºááŸááºáá¬ážáá²á· spring-web:3.0.5 áá²á·áááºááá¯ááºáá«áááºá áá áºáá»áááºáááºážááŸá¬áááºá ဠCVEs á¡áá»áá¯á·ááᯠNexus IQ ááŸáááºáž ááœá±á·ááŸááá²á·áá±á¬áºáááºáž IQ ááẠáááºážááá¯á·á¡á¬áž á¡ááŒá¬ážá¡á áááºá¡ááá¯ááºážáá áºáá¯ááá¯á· ááŸááºáááºá áœá¬ áá±á¬áºáá¯ááºáá²á·áááºá á€á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠspring-core ááœááºáááœá±á·áá±á¬ááŒá±á¬áá·áºá áááºážááá¯á·ááẠáá°á¡ááá°áá±á¬ááºááœááºááá«áááºááŒá±á¬ááºážááŸáá·áº open source tools áá»á¬ážááẠá¡ááá¯áá«á¡á¬ážáááºážáá»ááºáá»á¬ážááá¯ááŸááºáááºá áœá¬ááœáŸááºááŒáá²á·ááẠ(áááºážááá¯á·áááºá¡áááºážáááºááœá²áá»á±á¬áºáá²á·áááº)á
ááœá±á·ááŸááá»ááºáá»á¬áž
áá»áœááºá¯ááºááá¯á·ááŒááºááá¯ááºáááºá¡ááá¯ááºážá áááºá áœá²áá¯á¶ážáááºááŒááºážááŒáá·áº ááœá²ááŒá¬ážáááºááŸááºáá¬ážáá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬ážá áá¯á¶ááŒááºá áááºáá»áááŸá¯ááᯠá¡áá¯á¶ážá¡ááŒááºáá±ážááŒááºážááẠáááŸááºážáááºážáá±á¬ááááºáá»á¬ážááᯠááá±ážááá·áºá¡ááœááºááŒá±á¬áá·áº á¡ááŒááºážááœá¬ážááœááºáá¬ááŒá¿áá¬áá»á¬áž ááŒá áºáá±á«áºáá¬áá«áááºá ááááºáá»á¬ážááŸá¬ Nexus IQ ááŒá±ááŸááºážáá»ááºááœáẠá¡áááá·áºáá¯á¶áž ááŸá¬ážááœááºážáá±á¬ á¡ááŒá¯ááá±á¬ááŸá¯ááºážááŸáá·áº á¡ááŒáá·áºáá¯á¶áž áááá»ááŸá¯ááá¯á· áá«áááºáááºá
ááááŠážá áœá¬á áááºážááŸá¬ Sonatype á¡ááœá²á·ááẠáááºážááá±áá¬áá±á·á áºáá»á¬ážááœáẠNVD á០CVE á¡á¬ážáááºážáá»ááºáá áºáá¯á á®á¡ááœáẠáá±á¬áºááŒáá»ááºá¡á¬áž ááá¯ážáá»á²á·áá²á·ááŒá®áž á¡á áááºá¡ááá¯ááºážáá»á¬ážá áá®ážááŒá¬ážáá¬ážááŸááºážá¡ááœáẠá¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áááºáž ááá¯á·ááá¯áẠáá¯ááºáá±á¬ááºááŸá¯á¡áá ááœáŸááºááŒáá±á¬ááŒá±á¬áá·áºá á¡ááá¯áá¯áá±ááááŒá¯áá¯ááºááŒááºáž (á¥ááá¬á áá±á¬á·ááºáá²áá¬ážááŸááºážá¡áá±á¬ááºážáá»á¬ážááœáẠá¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá á áºáá±ážááŒááºáž)á
ááááºáá»á¬ážá¡áá±á«áº á¡áá±ážáá«áá±á¬ ááŒáá¬ááœáŸááºážááá¯ážááŸá¯ááᯠNVD ááœááºááá«áááºááá·áº á¡ááá¯áá« á¡á¬ážáááºážáá»ááºáá»á¬ážááŸáááºáž áá
á¬ážáá±ážáá±á¬áºáááºáž SONATYPE á¡ááŸááºá¡áá¬ážáá«ááŸááá±á¬ Sonatype áá±áá¬áá±á·á
áºááœáẠááŸááá±áá«áááºá á¡á
á®áááºáá¶á
á¬á¡á ááááááºá
ááááºá¡áá±ááŒáá·áº Dependency Check ááẠáá°áá¶áá¶áá»á¬ážá áœá¬ááᯠáá¯ááºááœáŸááºááŒá®áž á¡á¬ážáááºážáá»ááºááŸááá±á¬ á¡á áááºá¡ááá¯ááºážá¡áá»áá¯á·ááᯠáá»á±á¬ááºáá¯á¶ážá á±áááºá Dependency Track ááẠáá°áá¶áá¶ááᯠáááºážáá«ážá á±ááŒá®áž áááºá¡ááºáá¬áá±á·á áºááœáẠáá»ááºá áááᯠá¡ááŒááºá¡á¬áá¯á¶ áááááá¯ááºá á±ááá·áº á¡á áááºá¡ááá¯ááºážá¡áá»á¬ážá¡ááŒá¬ážááᯠáá±á¬ááºááŸááºážáááºá
ááá¯á·áá±á¬áºá ááœáá·áºáááºážáá±á¬á¡áááºážá¡ááŒá áºááẠááá·áºáá»ááºáá±á¬ DevSecOps á¡ááœáẠááááá¯á¶ážááŒá±ááŸááºážááŒá áºáá¬ááá·áºááŒá±á¬ááºáž áááºááœá±á·ááŒááááºá SCA ááᯠááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯ááœáẠáá±á«ááºážá ááºážáá¬ááœáẠááááá¯á¶ážá ááºážá á¬ážááá·áºáááºááŸá¬ áá¯ááºáááºážá ááºáá»á¬ážááŒá áºáááºá ááŒá±á¬ááááºá ááá·áºá¡ááœá²á·á¡á ááºážááŸá¬ áááºááá¯á á¶ááŒáá¯ááºáááºážá ááºááœá±ááŒá áºááá·áºááá²ááá¯áá¬ááᯠá á®áá¶ááá·áºááœá²ááŸá¯áá²á· áááºá ááºáá¬áááœá±áá²á· áááºááœá²á ááºážá á¬ážáá«á ááá·áºá¡ááœá²á·á¡á ááºážá¡ááœááºá á¡á ááá¯ááºážááœáẠááŸá®ááá¯ááŸá¯á á áºáá±ážááŒááºáž ááá¯á·ááá¯áẠááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºážááẠáá¯ááºáááºážááá¯á¡ááºáá»ááºá¡á¬ážáá¯á¶ážááᯠá¡áá»á¯á¶ážáááºáááºááŒá áºááŒá®ážá áá¯ááºáááºážááá¯ááºáá¬ááŒá±ááŸááºážáá»ááºáá»á¬ážááẠááœá¶á·ááŒáá¯ážáá¬áá±áá±á¬ á¡ááá®áá±ážááŸááºážáá»á¬ážá ááŸá¯ááºááœá±ážáá»á¬ážááŒá¬ážáá¬ááŒááºážááŒá±á¬áá·áº áá¯áá¹áááááºážáá»áá» áááºáááºáá¯ááºáá±á¬ááºááœá¬ážáááºááŒá áºáááºá
áá±á¬ááºáááºááœá² A- á¡á
áááºá¡ááá¯ááºážááááºáá»á¬áž
ááá¹áá¬áá®:
- á¡á áááºá¡ááá¯ááºážááŸá ááŒáá·áºáá¬ážáá±á¬ááŸáá·áº á¡áá±ážááŒá®ážáá±á¬á¡ááá·áº á¡á¬ážáááºážáá»ááºáá»á¬áž
- á¡áááºá¡ááẠâ á¡á áááºá¡ááá¯ááºážááŸá á¡áááºá¡áááºáá±áááºáá±ážá¡ááá·áºá á¡á¬ážáááºážáá»ááºáá»á¬áž
- TRUE â á á áºááŸááºáá±á¬ á¡ááŒá¯ááá±á¬áá±á¬ááºáá±á¬ ááŒá¿áá¬
- FALSE - ááŸá¬ážááœááºážáá±á¬ á¡ááŒá¯ááá±á¬áá±á¬ááºáá±á¬ ááŒá¿áá¬
á¡á
áááºá¡ááá¯ááºáž
Nexus IQ
ááŸá®ááá¯ááŸá¯á
á
áºáá±ážááŒááºážá
ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºáž
ááááº
dom4j: 1.6.1
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
TRUE
log4j-core- 2.3
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
TRUE
log4j: 1.2.14
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
-
TRUE
áá¯á¶á
á¯á
ááºážááŸá¯-á.á
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
TRUE
commons-fileupload-1.3.2
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
TRUE
commons-beanutils-á.á.á
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
TRUE
commons-codec:1:10
á¡áááºá¡áááº
-
-
TRUE
mysql-connector-java:5.1.42
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
TRUE
spring-expression-3.0.5
ááŒáá·áºáá±á¬
á¡á
áááºá¡ááá¯ááºážááᯠááŸá¬áááœá±á·áá«á
TRUE
spring-web-3.0.5
ááŒáá·áºáá±á¬
á¡á
áááºá¡ááá¯ááºážááᯠááŸá¬áááœá±á·áá«á
ááŒáá·áºáá±á¬
TRUE
Spring-context-3.0.5
á¡áááºá¡áááº
á¡á
áááºá¡ááá¯ááºážááᯠááŸá¬áááœá±á·áá«á
-
TRUE
spring-core-3.0.5
á¡áááºá¡áááº
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
TRUE
struts2-config-browser-plugin-2.3.30
á¡áááºá¡áááº
-
-
TRUE
spring-tx:3.0.5
-
ááŒáá·áºáá±á¬
-
á¡áá¯á¡áá±á¬áá»
Struts-core:1.3.8
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
TRUE
xwork-core- 2.3.30
ááŒáá·áºáá±á¬
-
-
TRUE
struts2-core- 2.3.30
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
ááŒáá·áºáá±á¬
TRUE
struts-taglib-á.á.á
-
ááŒáá·áºáá±á¬
-
á¡áá¯á¡áá±á¬áá»
struts-tiles-1.3.8
-
ááŒáá·áºáá±á¬
-
á¡áá¯á¡áá±á¬áá»
áá±á¬ááºáááºááœá² B- á¡á¬ážáááºážáá»ááºááááºáá»á¬áž
ááá¹áá¬áá®:
- á¡á áááºá¡ááá¯ááºážááŸá ááŒáá·áºáá¬ážáá±á¬ááŸáá·áº á¡áá±ážááŒá®ážáá±á¬á¡ááá·áº á¡á¬ážáááºážáá»ááºáá»á¬áž
- á¡áááºá¡ááẠâ á¡á áááºá¡ááá¯ááºážááŸá á¡áááºá¡áááºáá±áááºáá±ážá¡ááá·áºá á¡á¬ážáááºážáá»ááºáá»á¬áž
- TRUE â á á áºááŸááºáá±á¬ á¡ááŒá¯ááá±á¬áá±á¬ááºáá±á¬ ááŒá¿áá¬
- FALSE - ááŸá¬ážááœááºážáá±á¬ á¡ááŒá¯ááá±á¬áá±á¬ááºáá±á¬ ááŒá¿áá¬
á¡á
áááºá¡ááá¯ááºáž
Nexus IQ
ááŸá®ááá¯ááŸá¯á
á
áºáá±ážááŒááºážá
ááŸá®ááá¯ááŸá¯áááºážááŒá±á¬ááºáž
ááŒááºážáááºááŸá¯
ááááº
ááŸááºáá»ááº
dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
ááŒáá·áºáá±á¬
TRUE
CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
ááŒáá·áºáá±á¬
TRUE
log4j-core- 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
ááŒáá·áºáá±á¬
TRUE
CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
á¡áááá·áº
TRUE
log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
ááŒáá·áºáá±á¬
TRUE
-
CVE-2020-9488
-
á¡áááá·áº
TRUE
SONATYPE-2010-0053
-
-
ááŒáá·áºáá±á¬
TRUE
áá¯á¶á
á¯á
ááºážááŸá¯-á.á
-
CVE-2015-6420
CVE-2015-6420
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
RCE(OSSINDEX) áááºáá±áááº
-
CVE-2017-15708
CVE-2017-15708
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
RCE(OSSINDEX) áááºáá±áááº
SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
ááŒáá·áºáá±á¬
TRUE
commons-fileupload-1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
ááŒáá·áºáá±á¬
TRUE
SONATYPE-2014-0173
-
-
á¡áááºá¡áááº
TRUE
commons-beanutils-á.á.á
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
ááŒáá·áºáá±á¬
TRUE
-
CVE-2019-10086
CVE-2019-10086
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠáá¬ážááŸááºáž 1.9.2+ ááŸáá·áºáᬠáááºááá¯ááºáá«áááºá
commons-codec:1:10
SONATYPE-2012-0050
-
-
á¡áááºá¡áááº
TRUE
mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
ááŒáá·áºáá±á¬
TRUE
CVE-2019-2692
CVE-2019-2692
-
á¡áááºá¡áááº
TRUE
-
CVE-2020-2875
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
CVE-2019-2692 áá²á·ááá¯á· áá°áá®áá±á¬á¡á¬ážáááºážáá»ááºá ááá¯á·áá±á¬áº "ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááẠáá±á¬ááºáááºáá¯ááºáá¯ááºáá»á¬ážááᯠáááááá¬áá¬áááºáá±á¬ááºááŸá¯ááŸáááá¯ááºáááº" ááá¯áááááŒá¯áá«
-
CVE-2017-15945
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
mysql-connector-java ááŸáá·áº ááááºááá¯ááºáá«á
-
CVE-2020-2933
-
á¡áááá·áº
á¡áá¯á¡áá±á¬áá»
CVE-2020-2934 á áááá¹áá°
CVE-2020-2934
CVE-2020-2934
-
á¡áááºá¡áááº
TRUE
spring-expression-3.0.5
CVE-2018-1270
á¡á
áááºá¡ááá¯ááºážááᯠááŸá¬áááœá±á·áá«á
-
ááŒáá·áºáá±á¬
TRUE
CVE-2018-1257
-
-
á¡áááºá¡áááº
TRUE
spring-web-3.0.5
CVE-2016-1000027
á¡á
áááºá¡ááá¯ááºážááᯠááŸá¬áááœá±á·áá«á
-
ááŒáá·áºáá±á¬
TRUE
CVE-2014-0225
-
CVE-2014-0225
ááŒáá·áºáá±á¬
TRUE
CVE-2011-2730
-
-
ááŒáá·áºáá±á¬
TRUE
-
-
CVE-2013-4152
á¡áááºá¡áááº
TRUE
CVE-2018-1272
-
-
ááŒáá·áºáá±á¬
TRUE
CVE-2020-5398
-
-
ááŒáá·áºáá±á¬
TRUE
IQ ááᯠáá±á¬ááºáá¶ááá·áº ááá¯ááºáá±á¬áºáá¯á¶ á¥ááá¬- "Sonatype áá¯á¶ááŒá¯á¶áá±áž áá¯áá±ááá¡ááœá²á·ááẠá€á¡á¬ážáááºážáá»ááºááᯠáá¬ážááŸááºáž 3.0.2 ááœáẠá
áááºááœá±á·ááŸááá²á·áááºá á¡ááŒá¶ááŒá¯áá»ááºááœáẠáá±á¬áºááŒáá¬ážááá·áºá¡ááá¯ááºáž 5.0.x ááá¯ááºáá² RELEASE ááá¯ááºáá«á"
CVE-2013-6429
-
-
á¡áááºá¡áááº
TRUE
CVE-2014-0054
-
CVE-2014-0054
á¡áááºá¡áááº
TRUE
CVE-2013-6430
-
-
á¡áááºá¡áááº
TRUE
Spring-context-3.0.5
CVE-2011-2894
á¡á
áááºá¡ááá¯ááºážááᯠááŸá¬áááœá±á·áá«á
-
á¡áááºá¡áááº
TRUE
spring-core-3.0.5
-
CVE-2011-2730
CVE-2011-2730
ááŒáá·áºáá±á¬
TRUE
CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
á¡áááºá¡áááº
TRUE
-
-
CVE-2013-4152
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
spring-web ááœáẠáá°áá®áá±á¬á¡á¬ážáááºážáá»ááºááᯠáááá¹áá°ááœá¬ážáá«á
-
CVE-2013-4152
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-web á¡á
áááºá¡ááá¯ááºážááŸáá·áº áááºá
ááºáá±áááºá
-
CVE-2013-6429
CVE-2013-6429
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-web á¡á
áááºá¡ááá¯ááºážááŸáá·áº áááºá
ááºáá±áááºá
-
CVE-2013-6430
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-web á¡á
áááºá¡ááá¯ááºážááŸáá·áº áááºá
ááºáá±áááºá
-
CVE-2013-7315
CVE-2013-7315
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
CVE-2013-4152 á០ááœá²ááœááºááŒááºážá + á¡á¬ážáááºážáá»ááºááẠspring-web á¡á
áááºá¡ááá¯ááºážááŸáá·áº áááºááá¯ááºáááºá
-
CVE-2014-0054
CVE-2014-0054
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-web á¡á
áááºá¡ááá¯ááºážááŸáá·áº áááºá
ááºáá±áááºá
-
CVE-2014-0225
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-web á¡á
áááºá¡ááá¯ááºážááŸáá·áº áááºá
ááºáá±áááºá
-
-
CVE-2014-0225
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
spring-web ááœáẠáá°áá®áá±á¬á¡á¬ážáááºážáá»ááºááᯠáááá¹áá°ááœá¬ážáá«á
-
CVE-2014-1904
CVE-2014-1904
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-web-mvc á¡á
áááºá¡ááá¯ááºážááŸáá·áº áááºá
ááºáá±áááºá
-
CVE-2014-3625
CVE-2014-3625
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-web-mvc á¡á
áááºá¡ááá¯ááºážááŸáá·áº áááºá
ááºáá±áááºá
-
CVE-2016-9878
CVE-2016-9878
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-web-mvc á¡á
áááºá¡ááá¯ááºážááŸáá·áº áááºá
ááºáá±áááºá
-
CVE-2018-1270
CVE-2018-1270
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
spring-expression/spring-messages á¡ááœááº
-
CVE-2018-1271
CVE-2018-1271
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-web-mvc á¡á
áááºá¡ááá¯ááºážááŸáá·áº áááºá
ááºáá±áááºá
-
CVE-2018-1272
CVE-2018-1272
ááŒáá·áºáá±á¬
TRUE
CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
á¡áááºá¡áááº
TRUE
SONATYPE-2015-0327
-
-
á¡áááá·áº
TRUE
struts2-config-browser-plugin-2.3.30
SONATYPE-2016-0104
-
-
á¡áááºá¡áááº
TRUE
spring-tx:3.0.5
-
CVE-2011-2730
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2011-2894
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2013-4152
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2013-6429
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2013-6430
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2013-7315
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2014-0054
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2014-0225
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2014-1904
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2014-3625
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2016-9878
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2018-1270
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2018-1271
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
-
CVE-2018-1272
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
á¡á¬ážáááºážáá»ááºááẠspring-tx á¡ááœáẠáá®ážááŒá¬ážááá¯ááºáá«á
Struts-core:1.3.8
-
CVE-2011-5057 (OSSINDEX)
á¡áááºá¡áááº
á¡ááŒááº
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
CVE-2016-1182
3VE-2016-1182
-
ááŒáá·áºáá±á¬
TRUE
-
-
CVE-2011-5057
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
CVE-2015-0899
CVE-2015-0899
-
ááŒáá·áºáá±á¬
TRUE
-
CVE-2012-0394
CVE-2012-0394
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
ááŒáá·áºáá±á¬
á¡ááŒááº
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2013-2115
CVE-2013-2115
ááŒáá·áºáá±á¬
á¡ááŒááº
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
ááŒáá·áºáá±á¬
á¡ááŒááº
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
ááŒáá·áºáá±á¬
á¡ááŒááº
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
CVE-2014-0114
CVE-2014-0114
-
ááŒáá·áºáá±á¬
TRUE
-
CVE-2015-2992
CVE-2015-2992
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
CVE-2016-1181
CVE-2016-1181
-
ááŒáá·áºáá±á¬
TRUE
-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
Struts áá»á¬ážá¡ááœáẠá¡á¬ážáááºážáá»áẠá
xwork-core-2.3.30
CVE-2017-9804
-
-
ááŒáá·áºáá±á¬
TRUE
SONATYPE-2017-0173
-
-
ááŒáá·áºáá±á¬
TRUE
CVE-2017-7672
-
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
CVE-2017-9804 á áááá¹áá°
SONATYPE-2016-0127
-
-
ááŒáá·áºáá±á¬
TRUE
struts2-core-2.3.30
-
CVE-2016-6795
CVE-2016-6795
ááŒáá·áºáá±á¬
TRUE
-
CVE-2017-9787
CVE-2017-9787
ááŒáá·áºáá±á¬
TRUE
-
CVE-2017-9791
CVE-2017-9791
ááŒáá·áºáá±á¬
TRUE
-
CVE-2017-9793
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
CVE-2018-1327 á áááá¹áá°
-
CVE-2017-9804
-
ááŒáá·áºáá±á¬
TRUE
-
CVE-2017-9805
CVE-2017-9805
ááŒáá·áºáá±á¬
TRUE
CVE-2016-4003
-
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
áá¬ážááŸááºáž 2 ááŒá
áºááá·áº Apache Struts 2.3.28.x á០2.3.30 á¡áá á¡áá¯á¶ážááŒá¯ááá¯ááºáááºá ááá¯á·áá±á¬áº áá±á¬áºááŒáá»ááºá¡áá±á«áº á¡ááŒá±áá¶á JRE 2 ááá¯á·ááá¯áẠá€áááºážááᯠá¡áá¯á¶ážááŒá¯áá«á Struts 1.7 á áááºááá·áºáá¬ážááŸááºážá¡ááœááºáááᯠá¡áá»á¯á¶ážáááºáá«áááºá á€áá±áá¬ááœáẠáá»áœááºá¯ááºááá¯á·ááᯠááŒááºáááºá¡á¬ááá¶áá±ážááẠáá¯á¶ážááŒááºáá²á·ááŒáááºááŸá¬ áááºááŸá¬ážáá±á¬áºáááºáž áááºážááẠFALSE ááŸáá·áº ááá¯áá°áá«áááºá
-
CVE-2018-1327
CVE-2018-1327
ááŒáá·áºáá±á¬
TRUE
CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
ááŒáá·áºáá±á¬
TRUE
2017 áá¯ááŸá
áºááœáẠEquifax áááºáá¬áá»á¬ážá á¡áá¯á¶ážáá»áá²á·ááá·áº á¡áá¬ážáá°á¡á¬ážáááºážáá»ááº
CVE-2017-12611
CVE-2017-12611
-
ááŒáá·áºáá±á¬
TRUE
CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
ááŒáá·áºáá±á¬
TRUE
struts-taglib-á.á.á
-
CVE-2012-0394
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
Struts2-core á¡ááœááº
-
CVE-2013-2115
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
Struts2-core á¡ááœááº
-
CVE-2014-0114
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
áá¬áá¬áẠáá²áá»á¬ážá¡ááœááº
-
CVE-2015-0899
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
taglib ááŸáá·áºááááºááá¯ááºáá«á
-
CVE-2015-2992
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
Struts2-core ááá¯áááºááœáŸááºážáááºá
-
CVE-2016-1181
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
taglib ááŸáá·áºááááºááá¯ááºáá«á
-
CVE-2016-1182
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
taglib ááŸáá·áºááááºááá¯ááºáá«á
struts-tiles-1.3.8
-
CVE-2012-0394
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
Struts2-core á¡ááœááº
-
CVE-2013-2115
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
Struts2-core á¡ááœááº
-
CVE-2014-0114
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
á¡á±á¬ááºááŸá¬ commons-beanutils
-
CVE-2015-0899
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
á¡ááœááºáá»á¬ážááŸáá·áº ááááºááá¯ááºáá«á
-
CVE-2015-2992
-
á¡áááºá¡áááº
á¡áá¯á¡áá±á¬áá»
Struts2-core á¡ááœááº
-
CVE-2016-1181
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
taglib ááŸáá·áºááááºááá¯ááºáá«á
-
CVE-2016-1182
-
ááŒáá·áºáá±á¬
á¡áá¯á¡áá±á¬áá»
taglib ááŸáá·áºááááºááá¯ááºáá«á
source: www.habr.com