சினாப்சிஸ், சோனாடைப், ஸ்னைக், ஒயிட் சோர்ஸ் ஆகியவற்றால் வெளியிடப்படும் திறந்த மூல நூலகங்களின் பாதிப்புகள் குறித்த வருடாந்திர அறிக்கைகள் வெளியிடப்பட்டதன் மூலம் மேம்பாட்டு செயல்பாட்டில் மூன்றாம் தரப்பு மென்பொருள் கூறுகளின் (மென்பொருள் கலவை பகுப்பாய்வு - எஸ்சிஏ) பகுப்பாய்வின் முக்கியத்துவம் அதிகரித்து வருகிறது. அறிக்கையின்படி
மிகவும் விளக்கமான நிகழ்வுகளில் ஒன்று
பகுப்பாய்வு முடிவுகளின் தரத்தின் பார்வையில் இருந்து SCA ஐ நடத்துவதற்கான ஒரு கருவியைத் தேர்ந்தெடுப்பதில் இந்த கட்டுரை விவாதிக்கப்படும். கருவிகளின் செயல்பாட்டு ஒப்பீடும் வழங்கப்படும். CI/CD மற்றும் ஒருங்கிணைப்பு திறன்களில் ஒருங்கிணைக்கும் செயல்முறை அடுத்தடுத்த வெளியீடுகளுக்கு விடப்படும். OWASP ஆல் பரந்த அளவிலான கருவிகள் வழங்கப்பட்டன
இது எப்படி வேலை
CPE எப்படி இருக்கும் என்பதைப் பார்ப்போம்:
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other
- பகுதி: அப்ளிகேஷன் (அ), ஆப்பரேட்டிங் சிஸ்டம் (ஓ), ஹார்டுவேர் (எச்) (அவசியம்) ஆகியவற்றுடன் கூறு தொடர்புடையது என்பதற்கான அறிகுறி
- விற்பனையாளர்: தயாரிப்பு உற்பத்தியாளர் பெயர் (தேவை)
- தயாரிப்பு: தயாரிப்பு பெயர் (தேவை)
- பதிப்பு: கூறு பதிப்பு (காலாவதியான உருப்படி)
- மேம்படுத்தல்: தொகுப்பு புதுப்பிப்பு
- பதிப்பு: மரபு பதிப்பு (நிறுத்தப்பட்ட உருப்படி)
- மொழி: RFC-5646 இல் வரையறுக்கப்பட்ட மொழி
- SW பதிப்பு: மென்பொருள் பதிப்பு
- இலக்கு SW: தயாரிப்பு செயல்படும் மென்பொருள் சூழல்
- இலக்கு HW: தயாரிப்பு செயல்படும் வன்பொருள் சூழல்
- மற்ற: சப்ளையர் அல்லது தயாரிப்பு தகவல்
ஒரு எடுத்துக்காட்டு CPE இது போல் தெரிகிறது:
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
வரி என்பது CPE பதிப்பு 2.3 உற்பத்தியாளரிடமிருந்து பயன்பாட்டு கூறுகளை விவரிக்கிறது pivotal_software
தலைப்புடன் spring_framework
பதிப்பு 3.0.0. நாம் ஒரு பாதிப்பைத் திறந்தால்
URL ஆனது SCA கருவிகளாலும் பயன்படுத்தப்படுகிறது. தொகுப்பு URL வடிவம் பின்வருமாறு:
scheme:type/namespace/name@version?qualifiers#subpath
- திட்டம்: இது ஒரு தொகுப்பு URL என்பதைக் குறிக்கும் 'pkg' எப்போதும் இருக்கும் (அவசியம்)
- வகை: தொகுப்பின் "வகை" அல்லது தொகுப்பின் "நெறிமுறை", அதாவது மேவன், npm, nuget, gem, pypi போன்றவை. (தேவையான பொருள்)
- நேம்பேஸ்: மேவன் குழு ஐடி, டோக்கர் பட உரிமையாளர், கிட்ஹப் பயனர் அல்லது அமைப்பு போன்ற சில பெயர் முன்னொட்டு. விருப்பமானது மற்றும் வகையைப் பொறுத்தது.
- பெயர்: தொகுப்பு பெயர் (தேவை)
- பதிப்பு: தொகுப்பு பதிப்பு
- தகுதி பெற்றவர்கள்: OS, கட்டிடக்கலை, விநியோகம் போன்ற தொகுப்பிற்கான கூடுதல் தகுதித் தரவு. விருப்பமானது மற்றும் வகை சார்ந்தது.
- துணைப்பாதை: தொகுப்பு ரூட்டுடன் தொடர்புடைய தொகுப்பில் கூடுதல் பாதை
உதாரணமாக:
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]
XML வடிவத்தில் BOM எப்படி இருக்கும் என்பதற்கான எடுத்துக்காட்டு:
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>
BOM ஆனது சார்புத் தடத்திற்கான உள்ளீட்டு அளவுருக்களாக மட்டுமல்லாமல், விநியோகச் சங்கிலியில் உள்ள மென்பொருள் கூறுகளை பட்டியலிடுவதற்கும் பயன்படுத்தப்படலாம், எடுத்துக்காட்டாக, ஒரு வாடிக்கையாளருக்கு மென்பொருளை வழங்குவதற்கு. 2014 இல், அமெரிக்காவில் கூட ஒரு சட்டம் முன்மொழியப்பட்டது
SCA க்கு திரும்பும்போது, Dependency Track ஆனது Slack, Kenna Security போன்ற பாதிப்பு மேலாண்மை அமைப்புகள் போன்ற அறிவிப்பு பிளாட்ஃபார்ம்களுடன் ஆயத்த ஒருங்கிணைப்புகளைக் கொண்டுள்ளது. சார்பு ட்ராக், மற்றவற்றுடன், தொகுப்புகளின் காலாவதியான பதிப்புகளைக் கண்டறிந்து உரிமங்களைப் பற்றிய தகவலை வழங்குகிறது (SPDX ஆதரவு காரணமாக).
SCA இன் தரத்தைப் பற்றி நாம் குறிப்பாகப் பேசினால், ஒரு அடிப்படை வேறுபாடு உள்ளது.
சார்பு டிராக் திட்டத்தை உள்ளீடாக ஏற்கவில்லை, மாறாக BOM. இதன் பொருள், நாம் திட்டத்தைச் சோதிக்க விரும்பினால், முதலில் bom.xml ஐ உருவாக்க வேண்டும், எடுத்துக்காட்டாக CycloneDX ஐப் பயன்படுத்தவும். எனவே, சார்புத் தடமானது CycloneDXஐ நேரடியாகச் சார்ந்துள்ளது. அதே நேரத்தில், இது தனிப்பயனாக்கலை அனுமதிக்கிறது. இதை OZON குழு எழுதியது
சில செயல்பாட்டு அம்சங்களைச் சுருக்கமாகக் கூறுவோம், மேலும் பகுப்பாய்விற்காக ஆதரிக்கப்படும் மொழிகளையும் கருத்தில் கொள்வோம்:
மொழி
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்
ஜாவா
+
+
+
சி / சி ++
+
+
-
C#
+
+
-
.Net
+
+
+
எர்லாங்
-
-
+
ஜாவாஸ்கிரிப்ட் (நோட்ஜேஎஸ்)
+
+
+
PHP
+
+
+
பைதான்
+
+
+
ரூபி
+
+
+
பேர்ல்
-
-
-
ஸ்காலா
+
+
+
குறிக்கோள் சி
+
+
-
ஸ்விஃப்ட்
+
+
-
R
+
-
-
Go
+
+
+
செயல்பாடு
செயல்பாடு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்
மூலக் குறியீட்டில் பயன்படுத்தப்படும் கூறுகள் உரிமம் பெற்ற தூய்மைக்காக சரிபார்க்கப்படுவதை உறுதி செய்யும் திறன்
+
-
+
பாதிப்புகளை ஸ்கேன் செய்து பகுப்பாய்வு செய்யும் திறன் மற்றும் டோக்கர் படங்களுக்கான உரிமம் தூய்மை
+ Clair உடன் ஒருங்கிணைப்பு
-
-
திறந்த மூல நூலகங்களைப் பயன்படுத்த பாதுகாப்புக் கொள்கைகளை உள்ளமைக்கும் திறன்
+
-
-
பாதிக்கப்படக்கூடிய கூறுகளுக்கு திறந்த மூல களஞ்சியங்களை ஸ்கேன் செய்யும் திறன்
+ ரூபிஜெம்ஸ், மேவன், என்பிஎம், நியூஜெட், பைபி, கோனன், போவர், கோண்டா, கோ, பி2, ஆர், யம், ஹெல்ம், டோக்கர், கோகோபாட்ஸ், ஜிட் எல்எஃப்எஸ்
-
+ ஹெக்ஸ், ரூபிஜெம்ஸ், மேவன், என்பிஎம், நியூஜெட், பைபி
ஒரு சிறப்பு ஆராய்ச்சி குழுவின் கிடைக்கும் தன்மை
+
-
-
மூடிய வளைய செயல்பாடு
+
+
+
மூன்றாம் தரப்பு தரவுத்தளங்களைப் பயன்படுத்துதல்
+ மூடிய சொனாடைப் தரவுத்தளம்
+ சோனாடைப் OSS, NPM பொது ஆலோசகர்கள்
+ Sonatype OSS, NPM பொது ஆலோசகர்கள், RetireJS, VulnDB, அதன் சொந்த பாதிப்பு தரவுத்தளத்திற்கான ஆதரவு
கட்டமைக்கப்பட்ட கொள்கைகளின்படி டெவலப்மெண்ட் லூப்பில் ஏற்ற முயற்சிக்கும்போது திறந்த மூல கூறுகளை வடிகட்டுவதற்கான திறன்
+
-
-
பாதிப்புகளைச் சரிசெய்வதற்கான பரிந்துரைகள், திருத்தங்களுக்கான இணைப்புகளின் இருப்பு
+
+- (பொது தரவுத்தளங்களில் உள்ள விளக்கத்தைப் பொறுத்தது)
+- (பொது தரவுத்தளங்களில் உள்ள விளக்கத்தைப் பொறுத்தது)
தீவிரத்தன்மையின் அடிப்படையில் கண்டறியப்பட்ட பாதிப்புகளின் தரவரிசை
+
+
+
பங்கு அடிப்படையிலான அணுகல் மாதிரி
+
-
+
CLI ஆதரவு
+
+
+- (CycloneDX க்கு மட்டும்)
வரையறுக்கப்பட்ட அளவுகோல்களின்படி பாதிப்புகளை மாதிரி/வரிசைப்படுத்துதல்
+
-
+
விண்ணப்ப நிலையின்படி டாஷ்போர்டு
+
-
+
PDF வடிவத்தில் அறிக்கைகளை உருவாக்குதல்
+
-
-
JSONCSV வடிவத்தில் அறிக்கைகளை உருவாக்குகிறது
+
+
-
ரஷ்ய மொழி ஆதரவு
-
-
-
ஒருங்கிணைப்பு திறன்கள்
ஒருங்கிணைப்பு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்
LDAP/ஆக்டிவ் டைரக்டரி ஒருங்கிணைப்பு
+
-
+
மூங்கில் தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புடன் ஒருங்கிணைப்பு
+
-
-
தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புடன் ஒருங்கிணைப்பு TeamCity
+
-
-
தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்பு GitLab உடன் ஒருங்கிணைப்பு
+
+- (GitLab க்கான செருகுநிரலாக)
+
தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புடன் ஒருங்கிணைப்பு ஜென்கின்ஸ்
+
+
+
IDEக்கான செருகுநிரல்களின் கிடைக்கும் தன்மை
+ IntelliJ, எக்லிப்ஸ், விஷுவல் ஸ்டுடியோ
-
-
கருவியின் இணைய சேவைகள் (API) வழியாக தனிப்பயன் ஒருங்கிணைப்புக்கான ஆதரவு
+
-
+
சார்பு சோதனை
முதலில் தொடங்குங்கள்
வேண்டுமென்றே பாதிக்கப்படக்கூடிய பயன்பாட்டில் சார்பு சரிபார்ப்பை இயக்குவோம்
இதற்காக நாம் பயன்படுத்துவோம்
mvn org.owasp:dependency-check-maven:check
இதன் விளைவாக, சார்பு-சரிபார்ப்பு-report.html இலக்கு கோப்பகத்தில் தோன்றும்.
கோப்பை திறப்போம். பாதிப்புகளின் மொத்த எண்ணிக்கையைப் பற்றிய சுருக்கமான தகவலுக்குப் பிறகு, பாதிப்புகள் பற்றிய தகவல்களை அதிக அளவு தீவிரத்தன்மை மற்றும் நம்பிக்கையுடன் பார்க்கலாம், இது தொகுப்பு, CPE மற்றும் CVEகளின் எண்ணிக்கையைக் குறிக்கிறது.
அடுத்து இன்னும் விரிவான தகவல்கள் வரும், குறிப்பாக எந்த அடிப்படையில் முடிவு எடுக்கப்பட்டது (ஆதாரம்), அதாவது ஒரு குறிப்பிட்ட BOM.
அடுத்து CPE, PURL மற்றும் CVE விளக்கம் வரும். என்விடி தரவுத்தளத்தில் இல்லாததால், திருத்தத்திற்கான பரிந்துரைகள் சேர்க்கப்படவில்லை.
ஸ்கேன் முடிவுகளை முறையாகப் பார்க்க, நீங்கள் Nginx ஐ குறைந்தபட்ச அமைப்புகளுடன் உள்ளமைக்கலாம் அல்லது அதன் விளைவாக ஏற்படும் குறைபாடுகளை சார்பு சரிபார்ப்பிற்கான இணைப்பிகளை ஆதரிக்கும் குறைபாடு மேலாண்மை அமைப்புக்கு அனுப்பலாம். எடுத்துக்காட்டாக, குறைபாடு டோஜோ.
சார்புத் தடம்
நிறுவல்
சார்பு ட்ராக், இதையொட்டி, காட்சி வரைபடங்களைக் கொண்ட இணைய அடிப்படையிலான தளமாகும், எனவே மூன்றாம் தரப்பு தீர்வில் குறைபாடுகளைச் சேமிப்பதில் அழுத்தமான சிக்கல் இங்கு எழாது.
நிறுவலுக்கான ஆதரிக்கப்படும் ஸ்கிரிப்டுகள்: டோக்கர், வார், எக்ஸிகியூடபிள் வார்.
முதலில் தொடங்குங்கள்
இயங்கும் சேவையின் URL க்கு செல்கிறோம். நாங்கள் நிர்வாகி/நிர்வாகி வழியாக உள்நுழைந்து, உள்நுழைவு மற்றும் கடவுச்சொல்லை மாற்றி, பின்னர் டாஷ்போர்டைப் பெறுவோம். அடுத்ததாக ஜாவாவில் சோதனை பயன்பாட்டிற்கான திட்டத்தை உருவாக்குவோம் வீடு/திட்டங்கள் → திட்டத்தை உருவாக்கவும் . உதாரணத்திற்கு டி.வி.ஜே.யை எடுத்துக் கொள்வோம்.
சார்பு ட்ராக் BOM ஐ உள்ளீடாக மட்டுமே ஏற்க முடியும் என்பதால், இந்த BOM மீட்டெடுக்கப்பட வேண்டும். பயன் பெறுவோம்
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom
நாங்கள் bom.xml ஐப் பெற்று உருவாக்கிய திட்டத்தில் கோப்பை ஏற்றுவோம் DVJA → சார்புநிலைகள் → பதிவேற்றம் BOM.
நிர்வாகம் → அனலைசர்களுக்கு செல்லலாம். எங்களிடம் உள் பகுப்பாய்வி மட்டுமே இயக்கப்பட்டுள்ளது என்பதை நாங்கள் புரிந்துகொள்கிறோம், இதில் என்விடியும் அடங்கும். Sonatype OSS Indexஐயும் இணைப்போம்.
எனவே, எங்கள் திட்டத்திற்கான பின்வரும் படத்தைப் பெறுகிறோம்:
பட்டியலில் நீங்கள் Sonatype OSS க்கு பொருந்தக்கூடிய ஒரு பாதிப்பைக் காணலாம்:
முக்கிய ஏமாற்றம் என்னவென்றால், டிபென்டன்சி ட்ராக் இனி சார்பு சரிபார்ப்பு xml அறிக்கைகளை ஏற்காது. சார்பு சரிபார்ப்பு ஒருங்கிணைப்பின் சமீபத்திய ஆதரவு பதிப்புகள் 1.0.0 - 4.0.2, நான் 5.3.2 ஐ சோதித்தேன்.
இங்கே
Nexus IQ
முதலில் தொடங்குங்கள்
Nexus IQ இன் நிறுவல் காப்பகங்களில் இருந்து வருகிறது
கன்சோலில் உள்நுழைந்த பிறகு, நீங்கள் ஒரு அமைப்பு மற்றும் பயன்பாட்டை உருவாக்க வேண்டும்.
நீங்கள் பார்க்க முடியும் என, IQ இன் அமைப்பானது சற்று சிக்கலானது, ஏனென்றால் வெவ்வேறு "நிலைகளுக்கு" (dev, build, stage, release) பொருந்தக்கூடிய கொள்கைகளையும் நாங்கள் உருவாக்க வேண்டும். உற்பத்திக்கு அருகில் குழாய் வழியாகச் செல்லும் போது பாதிக்கப்படக்கூடிய கூறுகளைத் தடுக்க அல்லது டெவலப்பர்களால் பதிவிறக்கம் செய்யும்போது Nexus Repo இல் நுழைந்தவுடன் அவற்றைத் தடுக்க இது அவசியம்.
ஓப்பன் சோர்ஸ் மற்றும் எண்டர்பிரைஸ் இடையே உள்ள வித்தியாசத்தை உணர, Nexus IQ மூலம் அதே ஸ்கேன் மூலம் அதே வழியில் செய்யலாம் dvja-test-and-compare
:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
IQ இணைய இடைமுகத்தில் உருவாக்கப்பட்ட அறிக்கைக்கு URL ஐப் பின்தொடரவும்:
வெவ்வேறு முக்கியத்துவ நிலைகளைக் குறிக்கும் அனைத்து கொள்கை மீறல்களையும் இங்கே காணலாம் (தகவல் முதல் பாதுகாப்பு முக்கியத்துவம் வரை). கூறுக்கு அடுத்துள்ள D எழுத்து என்பது கூறு நேரடி சார்பு என்றும், கூறுக்கு அடுத்துள்ள T எழுத்து என்பது கூறு டிரான்சிடிவ் சார்பு என்றும், அதாவது, அது மாறக்கூடியது என்றும் பொருள்.
மூலம், அறிக்கை
Nexus IQ கொள்கை மீறல்களில் ஒன்றைத் திறந்தால், கூறுகளின் விளக்கத்தையும், பதிப்பு வரைபடத்தையும் பார்க்கலாம், இது நேர வரைபடத்தில் தற்போதைய பதிப்பின் இருப்பிடத்தைக் காட்டுகிறது, அதே போல் எந்த கட்டத்தில் பாதிப்பு நிறுத்தப்படும் பாதிக்கப்படக்கூடியதாக இருக்கும். வரைபடத்தில் உள்ள மெழுகுவர்த்திகளின் உயரம் இந்த கூறுகளைப் பயன்படுத்துவதற்கான பிரபலத்தைக் காட்டுகிறது.
நீங்கள் பாதிப்புகள் பிரிவுக்குச் சென்று CVE ஐ விரிவுபடுத்தினால், இந்த பாதிப்பு பற்றிய விளக்கம், நீக்குவதற்கான பரிந்துரைகள் மற்றும் இந்த கூறு மீறப்பட்டதற்கான காரணம், அதாவது வகுப்பின் இருப்பு ஆகியவற்றைப் படிக்கலாம். DiskFileitem.class
.
js கூறுகளை நீக்கி, மூன்றாம் தரப்பு ஜாவா கூறுகளுடன் தொடர்புடையவற்றை மட்டும் சுருக்கமாகக் கூறுவோம். அடைப்புக்குறிக்குள் NVDக்கு வெளியே கண்டறியப்பட்ட பாதிப்புகளின் எண்ணிக்கையைக் குறிப்பிடுகிறோம்.
மொத்த Nexus IQ:
- ஸ்கேன் செய்யப்பட்ட சார்புநிலைகள்: 62
- பாதிக்கப்படக்கூடிய சார்புநிலைகள்: 16
- பாதிப்புகள் கண்டறியப்பட்டன: 42 (8 சொனாடைப் டிபி)
மொத்த சார்பு சரிபார்ப்பு:
- ஸ்கேன் செய்யப்பட்ட சார்புநிலைகள்: 47
- பாதிக்கப்படக்கூடிய சார்புநிலைகள்: 13
- பாதிப்புகள் கண்டறியப்பட்டன: 91 (14 சொனாடைப் ஓஸ்)
மொத்த சார்புத் தடம்:
- சார்புகள் ஸ்கேன் செய்யப்பட்டவை: 59
- பாதிக்கப்படக்கூடிய சார்புநிலைகள்: 10
- பாதிப்புகள் கண்டறியப்பட்டன: 51 (1 சொனாடைப் ஓஸ்)
அடுத்த படிகளில், பெறப்பட்ட முடிவுகளை நாங்கள் பகுப்பாய்வு செய்வோம் மற்றும் இந்த பாதிப்புகளில் எது உண்மையான குறைபாடு மற்றும் எது தவறானது என்பதைக் கண்டுபிடிப்போம்.
மறுப்பு
இந்த விமர்சனம் மறுக்க முடியாத உண்மை அல்ல. மற்றவர்களின் பின்னணிக்கு எதிராக ஒரு தனி கருவியை முன்னிலைப்படுத்த ஆசிரியருக்கு ஒரு குறிக்கோள் இல்லை. மதிப்பாய்வின் நோக்கம் SCA கருவிகளின் செயல்பாட்டின் வழிமுறைகள் மற்றும் அவற்றின் முடிவுகளைச் சரிபார்க்கும் வழிகளைக் காண்பிப்பதாகும்.
முடிவுகளின் ஒப்பீடு
நிலைகள்:
மூன்றாம் தரப்பு கூறு பாதிப்புகளுக்கான தவறான நேர்மறை:
- அடையாளம் காணப்பட்ட கூறுகளுடன் CVE பொருந்தவில்லை
- எடுத்துக்காட்டாக, ஸ்ட்ரட்ஸ்2 கட்டமைப்பில் பாதிப்பு அடையாளம் காணப்பட்டால், மற்றும் கருவியானது ஸ்ட்ரட்ஸ்-டைல்ஸ் கட்டமைப்பின் ஒரு கூறுகளைச் சுட்டிக்காட்டினால், இந்த பாதிப்பு பொருந்தாது, இது தவறான நேர்மறையாகும்.
- கூறுகளின் அடையாளம் காணப்பட்ட பதிப்பிற்கு CVE பொருந்தவில்லை
- எடுத்துக்காட்டாக, பாதிப்பு பைதான் பதிப்பு > 3.5 உடன் இணைக்கப்பட்டுள்ளது மற்றும் கருவி பதிப்பு 2.7 பாதிக்கப்படக்கூடியதாகக் குறிக்கிறது - இது தவறான நேர்மறை, உண்மையில் பாதிப்பு 3.x தயாரிப்பு கிளைக்கு மட்டுமே பொருந்தும்.
- நகல் CVE
- எடுத்துக்காட்டாக, RCE ஐ செயல்படுத்தும் CVEயை SCA குறிப்பிட்டால், அந்த RCE ஆல் பாதிக்கப்பட்ட Cisco தயாரிப்புகளுக்குப் பொருந்தும் அதே கூறுக்கான CVE ஐ SCA குறிப்பிடுகிறது. இந்த வழக்கில் அது தவறான நேர்மறையாக இருக்கும்.
- எடுத்துக்காட்டாக, ஸ்பிரிங்-வெப் பாகத்தில் ஒரு CVE கண்டறியப்பட்டது, அதன் பிறகு SCA ஆனது அதே CVEஐ ஸ்பிரிங் ஃப்ரேம்வொர்க்கின் மற்ற கூறுகளில் சுட்டிக்காட்டுகிறது, அதே சமயம் CVE க்கு மற்ற கூறுகளுடன் எந்த தொடர்பும் இல்லை. இந்த வழக்கில் அது தவறான நேர்மறையாக இருக்கும்.
ஆய்வின் பொருள் திறந்த மூல திட்டமான DVJA ஆகும். ஆய்வு ஜாவா கூறுகளை மட்டுமே உள்ளடக்கியது (js இல்லாமல்).
சுருக்கமான முடிவுகள்
அடையாளம் காணப்பட்ட பாதிப்புகளின் கைமுறை மதிப்பாய்வின் முடிவுகளுக்கு நேராக செல்வோம். ஒவ்வொரு CVEக்கான முழு அறிக்கையையும் பின்னிணைப்பில் காணலாம்.
அனைத்து பாதிப்புகளுக்கும் சுருக்கமான முடிவுகள்:
அளவுரு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்
மொத்த பாதிப்புகள் கண்டறியப்பட்டுள்ளன
42
91
51
தவறாக அடையாளம் காணப்பட்ட பாதிப்புகள் (தவறான நேர்மறை)
2 (4.76%)
62 (68,13%)
29 (56.86%)
தொடர்புடைய பாதிப்புகள் எதுவும் இல்லை (தவறான எதிர்மறை)
10
20
27
கூறுகளின் அடிப்படையில் சுருக்கமான முடிவுகள்:
அளவுரு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்
மொத்த கூறுகள் அடையாளம் காணப்பட்டன
62
47
59
மொத்த பாதிக்கப்படக்கூடிய கூறுகள்
16
13
10
தவறாக அடையாளம் காணப்பட்ட பாதிக்கப்படக்கூடிய கூறுகள் (தவறான நேர்மறை)
1
5
0
தவறாக அடையாளம் காணப்பட்ட பாதிக்கப்படக்கூடிய கூறுகள் (தவறான நேர்மறை)
0
6
6
மொத்த பாதிப்புகளின் எண்ணிக்கைக்கு தவறான நேர்மறை மற்றும் தவறான எதிர்மறை ஆகியவற்றின் விகிதத்தை மதிப்பிடுவதற்கு காட்சி வரைபடங்களை உருவாக்குவோம். கூறுகள் கிடைமட்டமாகக் குறிக்கப்படுகின்றன, மேலும் அவற்றில் அடையாளம் காணப்பட்ட பாதிப்புகள் செங்குத்தாகக் குறிக்கப்படுகின்றன.
ஒப்பிடுகையில், OWASP சார்பு சரிபார்ப்பைப் பயன்படுத்தி 1531 கூறுகளின் திட்டத்தை சோனாடைப் குழு சோதிப்பதன் மூலம் இதேபோன்ற ஆய்வு நடத்தப்பட்டது. நாம் பார்க்கிறபடி, சரியான பதில்களுக்கான சத்தத்தின் விகிதம் எங்கள் முடிவுகளுடன் ஒப்பிடத்தக்கது.
ஆதாரம்:
இந்த முடிவுகளுக்கான காரணத்தைப் புரிந்துகொள்ள, எங்கள் ஸ்கேன் முடிவுகளிலிருந்து சில CVEகளைப் பார்ப்போம்.
மேலும் படிக்க
№1
Sonatype Nexus IQ பற்றிய சில சுவாரஸ்யமான விஷயங்களை முதலில் பார்க்கலாம்.
Nexus IQ ஆனது ஸ்பிரிங் ஃப்ரேம்வொர்க்கில் RCE ஐ பலமுறை செய்யும் திறனுடன் டீரியலைசேஷன் பிரச்சனையை சுட்டிக்காட்டுகிறது. CVE-2016-1000027 ஸ்பிரிங்-வெப்:3.0.5 முதல் முறை, மற்றும் CVE-2011-2894 வசந்த-சூழல்:3.0.5 மற்றும் ஸ்பிரிங்-கோர்:3.0.5. முதலில், பல CVEகள் முழுவதும் பாதிப்பின் நகல் இருப்பதாகத் தோன்றுகிறது. ஏனெனில், என்விடி தரவுத்தளத்தில் CVE-2016-1000027 மற்றும் CVE-2011-2894 ஆகியவற்றைப் பார்த்தால், எல்லாம் தெளிவாகத் தெரிகிறது.
கூறு
பாதிப்பு
வசந்த-வலை:3.0.5
CVE-2016-1000027
வசந்த-சூழல்:3.0.5
CVE-2011-2894
ஸ்பிரிங்-கோர்:3.0.5
CVE-2011-2894
விளக்கம்
விளக்கம்
CVE-2011-2894 மிகவும் பிரபலமானது. அறிக்கையில் RemoteInvocationSerializingExporter
CVE-2011-2894 இல், பாதிப்பு கவனிக்கப்படுகிறது HttpInvokerServiceExporter
. Nexus IQ நமக்குச் சொல்வது இதுதான்:
இருப்பினும், என்விடியில் இது போன்ற எதுவும் இல்லை, அதனால்தான் சார்பு சரிபார்ப்பு மற்றும் சார்பு ட்ராக் ஒவ்வொன்றும் தவறான எதிர்மறையைப் பெறுகின்றன.
மேலும் CVE-2011-2894 இன் விளக்கத்திலிருந்து, பாதிப்பு உண்மையில் வசந்த-சூழல்:3.0.5 மற்றும் ஸ்பிரிங்-கோர்:3.0.5 ஆகிய இரண்டிலும் உள்ளது என்பதை புரிந்து கொள்ளலாம். இந்த பாதிப்பைக் கண்டறிந்த நபரின் கட்டுரையில் இதை உறுதிப்படுத்தலாம்.
№2
கூறு
பாதிப்பு
விளைவாக
ஸ்ட்ரட்ஸ்2-கோர்:2.3.30
CVE-2016-4003
பொய்யா
பாதிப்பு CVE-2016-4003ஐப் படித்தால், அது பதிப்பு 2.3.28 இல் சரி செய்யப்பட்டது என்பதைப் புரிந்துகொள்வோம், இருப்பினும், Nexus IQ அதை எங்களுக்குத் தெரிவிக்கிறது. பாதிப்பின் விளக்கத்தில் ஒரு குறிப்பு உள்ளது:
அதாவது, JRE இன் காலாவதியான பதிப்போடு இணைந்து மட்டுமே பாதிப்பு உள்ளது, அவர்கள் எங்களை எச்சரிக்க முடிவு செய்தனர். இருப்பினும், மோசமானதாக இல்லாவிட்டாலும், இந்த தவறான நேர்மறையாக நாங்கள் கருதுகிறோம்.
# 3
கூறு
பாதிப்பு
விளைவாக
xwork-core:2.3.30
CVE-2017-9804
உண்மை
xwork-core:2.3.30
CVE-2017-7672
பொய்யா
CVE-2017-9804 மற்றும் CVE-2017-7672 ஆகியவற்றின் விளக்கங்களைப் பார்த்தால், பிரச்சனை என்பது நமக்குப் புரியும். URLValidator class
, CVE-2017-9804 உடன் CVE-2017-7672 இலிருந்து உருவாகிறது. இரண்டாவது பாதிப்பின் இருப்பு அதன் தீவிரம் உயர்வாக அதிகரித்துள்ளது என்பதைத் தவிர வேறு எந்த பயனுள்ள சுமையையும் சுமக்காது, எனவே தேவையற்ற சத்தத்தை நாம் கருத்தில் கொள்ளலாம்.
மொத்தத்தில், Nexus IQ க்கு வேறு தவறான நேர்மறைகள் எதுவும் கண்டறியப்படவில்லை.
№4
IQ மற்ற தீர்வுகளிலிருந்து தனித்து நிற்கும் பல விஷயங்கள் உள்ளன.
கூறு
பாதிப்பு
விளைவாக
வசந்த-வலை:3.0.5
CVE-2020-5398
உண்மை
NVD இல் உள்ள CVE ஆனது 5.2 க்கு முன் 5.2.3.x, 5.1 க்கு முன் 5.1.13.x மற்றும் 5.0 க்கு முந்தைய 5.0.16.x பதிப்புகளுக்கு மட்டுமே பொருந்தும் என்று கூறுகிறது, இருப்பினும், Nexus IQ இல் உள்ள CVE விளக்கத்தைப் பார்த்தால் , பின் பின்வருவனவற்றைக் காண்போம்:
ஆலோசனை விலகல் அறிவிப்பு: Sonatype பாதுகாப்பு ஆராய்ச்சி குழு, இந்த பாதிப்பு பதிப்பு 3.0.2.RELEASE இல் அறிமுகப்படுத்தப்பட்டது மற்றும் ஆலோசனையில் கூறப்பட்டுள்ளபடி 5.0.x அல்ல என்பதைக் கண்டறிந்துள்ளது.
இதைத் தொடர்ந்து இந்த பாதிப்புக்கான PoC உள்ளது, இது பதிப்பு 3.0.5 இல் இருப்பதாகக் கூறுகிறது.
தவறான எதிர்மறையானது சார்பு சரிபார்ப்பு மற்றும் சார்புத் தடத்திற்கு அனுப்பப்படும்.
№5
சார்பு சரிபார்ப்பு மற்றும் சார்புத் தடத்திற்கான தவறான நேர்மறையைப் பார்ப்போம்.
இந்த CVEகள் பொருந்தாத கூறுகளுக்கு NVD இல் உள்ள முழு கட்டமைப்பிற்கும் பொருந்தும் அந்த CVEகளை இது பிரதிபலிக்கிறது என்பதில் சார்பு சரிபார்ப்பு தனித்து நிற்கிறது. இது CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016 ஆகியவற்றைச் சரிபார்த்துள்ளது. ” க்கு struts-taglib:1182 மற்றும் struts-tiles-1.3.8. இந்த கூறுகளுக்கு CVE - கோரிக்கை செயலாக்கம், பக்க சரிபார்ப்பு மற்றும் பலவற்றில் விவரிக்கப்பட்டுள்ளவற்றுடன் எந்த தொடர்பும் இல்லை. இந்த CVEகள் மற்றும் கூறுகள் பொதுவான கட்டமைப்பை மட்டுமே கொண்டிருப்பதே இதற்குக் காரணம், அதனால்தான் சார்பு சரிபார்ப்பு ஒரு பாதிப்பாகக் கருதப்பட்டது.
அதே நிலை ஸ்பிரிங்-tx:3.0.5, மற்றும் ஸ்ட்ரட்ஸ்-கோர்:1.3.8 உடன் இதே நிலை. struts-core க்கு, சார்பு சரிபார்ப்பு மற்றும் சார்பு ட்ராக் ஆகியவை struts2-core க்கு உண்மையில் பொருந்தக்கூடிய பல பாதிப்புகளைக் கண்டறிந்துள்ளன, இது அடிப்படையில் ஒரு தனி கட்டமைப்பாகும். இந்த வழக்கில், Nexus IQ சரியாக படத்தைப் புரிந்து கொண்டது மற்றும் அது வெளியிட்ட CVE களில், ஸ்ட்ரட்ஸ்-கோர் வாழ்க்கையின் முடிவை அடைந்துவிட்டதாகவும், ஸ்ட்ரட்ஸ்2-கோருக்கு செல்ல வேண்டியது அவசியம் என்றும் சுட்டிக்காட்டியது.
№6
சில சூழ்நிலைகளில், வெளிப்படையான சார்பு சரிபார்ப்பு மற்றும் சார்புத் தடப் பிழையை விளக்குவது நியாயமற்றது. குறிப்பாக CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014 டிபென்சி செக், இது 0225dd3.0.5d- ஸ்பிரிங்-கோர்:3.0.5 என்பது உண்மையில் ஸ்பிரிங்-வெப்:XNUMXக்கு சொந்தமானது. அதே நேரத்தில், இந்த CVE களில் சிலவும் Nexus IQ ஆல் கண்டறியப்பட்டன, இருப்பினும், IQ அவற்றை மற்றொரு கூறுக்கு சரியாக அடையாளம் கண்டுள்ளது. இந்த பாதிப்புகள் ஸ்பிரிங்-கோரில் காணப்படாததால், அவை கொள்கையளவில் கட்டமைப்பில் இல்லை என்று வாதிட முடியாது மற்றும் திறந்த மூலக் கருவிகள் இந்த பாதிப்புகளை சரியாகச் சுட்டிக்காட்டியுள்ளன (அவை கொஞ்சம் தவறவிட்டன).
கண்டுபிடிப்புகள்
நாம் பார்க்கிறபடி, கைமுறை மதிப்பாய்வு மூலம் அடையாளம் காணப்பட்ட பாதிப்புகளின் நம்பகத்தன்மையை தீர்மானிப்பது தெளிவற்ற முடிவுகளைத் தராது, அதனால்தான் சர்ச்சைக்குரிய சிக்கல்கள் எழுகின்றன. முடிவுகள் என்னவென்றால், Nexus IQ தீர்வு மிகக் குறைந்த தவறான நேர்மறை விகிதத்தையும் அதிக துல்லியத்தையும் கொண்டுள்ளது.
முதலாவதாக, Sonatype குழு அதன் தரவுத்தளங்களில் NVD இலிருந்து ஒவ்வொரு CVE பாதிப்புக்கான விளக்கத்தையும் விரிவுபடுத்தியுள்ளது, இது ஒரு குறிப்பிட்ட பதிப்பு கூறுகளின் பாதிப்புகளை வகுப்பு அல்லது செயல்பாடு வரை, கூடுதல் ஆராய்ச்சியை மேற்கொள்கிறது (எடுத்துக்காட்டாக. , பழைய மென்பொருள் பதிப்புகளில் உள்ள பாதிப்புகளைச் சரிபார்த்தல்).
என்விடியில் சேர்க்கப்படாத பாதிப்புகளால் முடிவுகளில் முக்கியமான செல்வாக்கு செலுத்தப்படுகிறது, ஆனால் சோனாடைப் தரவுத்தளத்தில் சோனாடைப் குறியுடன் உள்ளது. அறிக்கையின்படி
இதன் விளைவாக, சார்பு சரிபார்ப்பு அதிக சத்தத்தை உருவாக்குகிறது, சில பாதிக்கப்படக்கூடிய கூறுகளைக் காணவில்லை. சார்பு ட்ராக் குறைந்த சத்தத்தை உருவாக்குகிறது மற்றும் அதிக எண்ணிக்கையிலான கூறுகளைக் கண்டறிகிறது, இது வலை இடைமுகத்தில் பார்வைக்கு கண்களை காயப்படுத்தாது.
இருப்பினும், ஓப்பன் சோர்ஸ் முதிர்ந்த DevSecOps ஐ நோக்கிய முதல் படியாக இருக்க வேண்டும் என்பதை நடைமுறை காட்டுகிறது. வளர்ச்சியில் SCA ஐ ஒருங்கிணைக்கும் போது நீங்கள் முதலில் சிந்திக்க வேண்டியது செயல்முறைகள் ஆகும், அதாவது, உங்கள் நிறுவனத்தில் சிறந்த செயல்முறைகள் எப்படி இருக்க வேண்டும் என்பதைப் பற்றி மேலாண்மை மற்றும் தொடர்புடைய துறைகளுடன் இணைந்து சிந்திக்க வேண்டும். உங்கள் நிறுவனத்திற்கு, முதலில், சார்பு சரிபார்ப்பு அல்லது சார்புத் தடம் அனைத்து வணிகத் தேவைகளையும் உள்ளடக்கும், மேலும் வளர்ந்து வரும் பயன்பாடுகளின் சிக்கலான தன்மை காரணமாக நிறுவன தீர்வுகள் தர்க்கரீதியான தொடர்ச்சியாக இருக்கும்.
இணைப்பு A: கூறு முடிவுகள்
விளக்கம்:
- கூறுகளில் உயர்-உயர் மற்றும் முக்கியமான நிலை பாதிப்புகள்
- நடுத்தர — கூறுகளில் நடுத்தர விமர்சன நிலை பாதிப்புகள்
- உண்மை - உண்மையான நேர்மறையான பிரச்சினை
- FALSE - தவறான நேர்மறை பிரச்சினை
கூறு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்
விளைவாக
dom4j: 1.6.1
உயர்
உயர்
உயர்
உண்மை
log4j-core: 2.3
உயர்
உயர்
உயர்
உண்மை
log4j: 1.2.14
உயர்
உயர்
-
உண்மை
பொதுவான சேகரிப்புகள்:3.1
உயர்
உயர்
உயர்
உண்மை
commons-fileupload:1.3.2
உயர்
உயர்
உயர்
உண்மை
commons-beanutils:1.7.0
உயர்
உயர்
உயர்
உண்மை
commons-codec:1:10
நடுத்தர
-
-
உண்மை
mysql-connector-java:5.1.42
உயர்
உயர்
உயர்
உண்மை
வசந்த-வெளிப்பாடு:3.0.5
உயர்
கூறு காணப்படவில்லை
உண்மை
வசந்த-வலை:3.0.5
உயர்
கூறு காணப்படவில்லை
உயர்
உண்மை
வசந்த-சூழல்:3.0.5
நடுத்தர
கூறு காணப்படவில்லை
-
உண்மை
ஸ்பிரிங்-கோர்:3.0.5
நடுத்தர
உயர்
உயர்
உண்மை
struts2-config-browser-plugin:2.3.30
நடுத்தர
-
-
உண்மை
வசந்த-tx:3.0.5
-
உயர்
-
பொய்யா
ஸ்ட்ரட்ஸ்-கோர்:1.3.8
உயர்
உயர்
உயர்
உண்மை
xwork-core: 2.3.30
உயர்
-
-
உண்மை
ஸ்ட்ரட்ஸ்2-கோர்: 2.3.30
உயர்
உயர்
உயர்
உண்மை
struts-taglib:1.3.8
-
உயர்
-
பொய்யா
ஸ்ட்ரட்ஸ்-டைல்ஸ்-1.3.8
-
உயர்
-
பொய்யா
பின் இணைப்பு B: பாதிப்பு முடிவுகள்
விளக்கம்:
- கூறுகளில் உயர்-உயர் மற்றும் முக்கியமான நிலை பாதிப்புகள்
- நடுத்தர — கூறுகளில் நடுத்தர விமர்சன நிலை பாதிப்புகள்
- உண்மை - உண்மையான நேர்மறையான பிரச்சினை
- FALSE - தவறான நேர்மறை பிரச்சினை
கூறு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்
தீவிரத்தன்மை
விளைவாக
கருத்து
dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
உயர்
உண்மை
CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
உயர்
உண்மை
log4j-core: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
உயர்
உண்மை
CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
குறைந்த
உண்மை
log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
உயர்
உண்மை
-
CVE-2020-9488
-
குறைந்த
உண்மை
SONATYPE-2010-0053
-
-
உயர்
உண்மை
பொதுவான சேகரிப்புகள்:3.1
-
CVE-2015-6420
CVE-2015-6420
உயர்
பொய்யா
பிரதிகள் RCE(OSSINDEX)
-
CVE-2017-15708
CVE-2017-15708
உயர்
பொய்யா
பிரதிகள் RCE(OSSINDEX)
SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
உயர்
உண்மை
commons-fileupload:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
உயர்
உண்மை
SONATYPE-2014-0173
-
-
நடுத்தர
உண்மை
commons-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
உயர்
உண்மை
-
CVE-2019-10086
CVE-2019-10086
உயர்
பொய்யா
பாதிப்பு 1.9.2+ பதிப்புகளுக்கு மட்டுமே பொருந்தும்
commons-codec:1:10
SONATYPE-2012-0050
-
-
நடுத்தர
உண்மை
mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
உயர்
உண்மை
CVE-2019-2692
CVE-2019-2692
-
நடுத்தர
உண்மை
-
CVE-2020-2875
-
நடுத்தர
பொய்யா
CVE-2019-2692 போன்ற அதே பாதிப்பு, ஆனால் "தாக்குதல்கள் கூடுதல் தயாரிப்புகளை கணிசமாக பாதிக்கலாம்"
-
CVE-2017-15945
-
உயர்
பொய்யா
mysql-connector-java உடன் தொடர்புடையது அல்ல
-
CVE-2020-2933
-
குறைந்த
பொய்யா
CVE-2020-2934 இன் நகல்
CVE-2020-2934
CVE-2020-2934
-
நடுத்தர
உண்மை
வசந்த-வெளிப்பாடு:3.0.5
CVE-2018-1270
கூறு காணப்படவில்லை
-
உயர்
உண்மை
CVE-2018-1257
-
-
நடுத்தர
உண்மை
வசந்த-வலை:3.0.5
CVE-2016-1000027
கூறு காணப்படவில்லை
-
உயர்
உண்மை
CVE-2014-0225
-
CVE-2014-0225
உயர்
உண்மை
CVE-2011-2730
-
-
உயர்
உண்மை
-
-
CVE-2013-4152
நடுத்தர
உண்மை
CVE-2018-1272
-
-
உயர்
உண்மை
CVE-2020-5398
-
-
உயர்
உண்மை
IQ க்கு ஆதரவாக ஒரு விளக்கமான உதாரணம்: "சோனாடைப் பாதுகாப்பு ஆராய்ச்சி குழு, இந்த பாதிப்பு பதிப்பு 3.0.2.ரிலீஸில் அறிமுகப்படுத்தப்பட்டது மற்றும் ஆலோசனையில் கூறப்பட்டுள்ளபடி 5.0.x இல் இல்லை என்பதைக் கண்டறிந்தது."
CVE-2013-6429
-
-
நடுத்தர
உண்மை
CVE-2014-0054
-
CVE-2014-0054
நடுத்தர
உண்மை
CVE-2013-6430
-
-
நடுத்தர
உண்மை
வசந்த-சூழல்:3.0.5
CVE-2011-2894
கூறு காணப்படவில்லை
-
நடுத்தர
உண்மை
ஸ்பிரிங்-கோர்:3.0.5
-
CVE-2011-2730
CVE-2011-2730
உயர்
உண்மை
CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
நடுத்தர
உண்மை
-
-
CVE-2013-4152
நடுத்தர
பொய்யா
ஸ்பிரிங்-வலையில் அதே பாதிப்பின் நகல்
-
CVE-2013-4152
-
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வலை கூறு தொடர்பானது
-
CVE-2013-6429
CVE-2013-6429
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வலை கூறு தொடர்பானது
-
CVE-2013-6430
-
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வலை கூறு தொடர்பானது
-
CVE-2013-7315
CVE-2013-7315
நடுத்தர
பொய்யா
CVE-2013-4152 இலிருந்து SPLIT. + பாதிப்பு ஸ்பிரிங்-வலை கூறுகளுடன் தொடர்புடையது
-
CVE-2014-0054
CVE-2014-0054
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வலை கூறு தொடர்பானது
-
CVE-2014-0225
-
உயர்
பொய்யா
பாதிப்பு ஸ்பிரிங்-வலை கூறு தொடர்பானது
-
-
CVE-2014-0225
உயர்
பொய்யா
ஸ்பிரிங்-வலையில் அதே பாதிப்பின் நகல்
-
CVE-2014-1904
CVE-2014-1904
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வெப்-எம்விசி கூறுகளுடன் தொடர்புடையது
-
CVE-2014-3625
CVE-2014-3625
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வெப்-எம்விசி கூறுகளுடன் தொடர்புடையது
-
CVE-2016-9878
CVE-2016-9878
உயர்
பொய்யா
பாதிப்பு ஸ்பிரிங்-வெப்-எம்விசி கூறுகளுடன் தொடர்புடையது
-
CVE-2018-1270
CVE-2018-1270
உயர்
பொய்யா
வசந்த-வெளிப்பாடு/வசந்த-செய்திகளுக்கு
-
CVE-2018-1271
CVE-2018-1271
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வெப்-எம்விசி கூறுகளுடன் தொடர்புடையது
-
CVE-2018-1272
CVE-2018-1272
உயர்
உண்மை
CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
நடுத்தர
உண்மை
SONATYPE-2015-0327
-
-
குறைந்த
உண்மை
struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
நடுத்தர
உண்மை
வசந்த-tx:3.0.5
-
CVE-2011-2730
-
உயர்
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2011-2894
-
உயர்
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2013-4152
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2013-6429
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2013-6430
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2013-7315
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2014-0054
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2014-0225
-
உயர்
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2014-1904
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2014-3625
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2016-9878
-
உயர்
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2018-1270
-
உயர்
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2018-1271
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
-
CVE-2018-1272
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல
ஸ்ட்ரட்ஸ்-கோர்:1.3.8
-
CVE-2011-5057 (OSSINDEX)
நடுத்தர
FASLE
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
CVE-2016-1182
3VE-2016-1182
-
உயர்
உண்மை
-
-
CVE-2011-5057
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
CVE-2015-0899
CVE-2015-0899
-
உயர்
உண்மை
-
CVE-2012-0394
CVE-2012-0394
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
உயர்
FASLE
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2013-2115
CVE-2013-2115
உயர்
FASLE
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
உயர்
FASLE
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
உயர்
FASLE
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
CVE-2014-0114
CVE-2014-0114
-
உயர்
உண்மை
-
CVE-2015-2992
CVE-2015-2992
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
CVE-2016-1181
CVE-2016-1181
-
உயர்
உண்மை
-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2
xwork-core:2.3.30
CVE-2017-9804
-
-
உயர்
உண்மை
SONATYPE-2017-0173
-
-
உயர்
உண்மை
CVE-2017-7672
-
-
உயர்
பொய்யா
CVE-2017-9804 இன் நகல்
SONATYPE-2016-0127
-
-
உயர்
உண்மை
ஸ்ட்ரட்ஸ்2-கோர்:2.3.30
-
CVE-2016-6795
CVE-2016-6795
உயர்
உண்மை
-
CVE-2017-9787
CVE-2017-9787
உயர்
உண்மை
-
CVE-2017-9791
CVE-2017-9791
உயர்
உண்மை
-
CVE-2017-9793
-
உயர்
பொய்யா
CVE-2018-1327 இன் நகல்
-
CVE-2017-9804
-
உயர்
உண்மை
-
CVE-2017-9805
CVE-2017-9805
உயர்
உண்மை
CVE-2016-4003
-
-
நடுத்தர
பொய்யா
Apache Struts 2.x க்கு 2.3.28 வரை பொருந்தும், இது பதிப்பு 2.3.30 ஆகும். இருப்பினும், விளக்கத்தின் அடிப்படையில், JRE 2 அல்லது அதற்கும் குறைவாகப் பயன்படுத்தப்பட்டால், ஸ்ட்ரட்ஸ் 1.7 இன் எந்தப் பதிப்பிற்கும் CVE செல்லுபடியாகும். வெளிப்படையாக அவர்கள் எங்களுக்கு இங்கே மறுகாப்பீடு செய்ய முடிவு செய்தனர், ஆனால் அது தவறானது போல் தெரிகிறது
-
CVE-2018-1327
CVE-2018-1327
உயர்
உண்மை
CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
உயர்
உண்மை
2017 இல் Equifax ஹேக்கர்கள் பயன்படுத்திய அதே பாதிப்பு
CVE-2017-12611
CVE-2017-12611
-
உயர்
உண்மை
CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
உயர்
உண்மை
struts-taglib:1.3.8
-
CVE-2012-0394
-
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸ்2-கோருக்கு
-
CVE-2013-2115
-
உயர்
பொய்யா
ஸ்ட்ரட்ஸ்2-கோருக்கு
-
CVE-2014-0114
-
உயர்
பொய்யா
காமன்ஸ்-பீனுட்டில்ஸ்
-
CVE-2015-0899
-
உயர்
பொய்யா
taglib க்கு பொருந்தாது
-
CVE-2015-2992
-
நடுத்தர
பொய்யா
struts2-core ஐக் குறிக்கிறது
-
CVE-2016-1181
-
உயர்
பொய்யா
taglib க்கு பொருந்தாது
-
CVE-2016-1182
-
உயர்
பொய்யா
taglib க்கு பொருந்தாது
ஸ்ட்ரட்ஸ்-டைல்ஸ்-1.3.8
-
CVE-2012-0394
-
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸ்2-கோருக்கு
-
CVE-2013-2115
-
உயர்
பொய்யா
ஸ்ட்ரட்ஸ்2-கோருக்கு
-
CVE-2014-0114
-
உயர்
பொய்யா
காமன்ஸ்-பீனுட்டில்ஸ் கீழ்
-
CVE-2015-0899
-
உயர்
பொய்யா
ஓடுகளுக்கு பொருந்தாது
-
CVE-2015-2992
-
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸ்2-கோருக்கு
-
CVE-2016-1181
-
உயர்
பொய்யா
taglib க்கு பொருந்தாது
-
CVE-2016-1182
-
உயர்
பொய்யா
taglib க்கு பொருந்தாது
ஆதாரம்: www.habr.com