புரோஹோஸ்டர் > Блог > நிர்வாகம் > DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

சினாப்சிஸ், சோனாடைப், ஸ்னைக், ஒயிட் சோர்ஸ் ஆகியவற்றால் வெளியிடப்படும் திறந்த மூல நூலகங்களின் பாதிப்புகள் குறித்த வருடாந்திர அறிக்கைகள் வெளியிடப்பட்டதன் மூலம் மேம்பாட்டு செயல்பாட்டில் மூன்றாம் தரப்பு மென்பொருள் கூறுகளின் (மென்பொருள் கலவை பகுப்பாய்வு - எஸ்சிஏ) பகுப்பாய்வின் முக்கியத்துவம் அதிகரித்து வருகிறது. அறிக்கையின்படி திறந்த மூல பாதுகாப்பு பாதிப்புகளின் நிலை 2020 2019 இல் அடையாளம் காணப்பட்ட திறந்த மூல பாதிப்புகளின் எண்ணிக்கை முந்தைய ஆண்டை விட கிட்டத்தட்ட 1.5 மடங்கு அதிகரித்துள்ளது, அதே நேரத்தில் திறந்த மூல கூறுகள் 60% முதல் 80% திட்டங்களால் பயன்படுத்தப்படுகின்றன. ஒரு சுயாதீனமான அடிப்படையில், SCA செயல்முறைகள் முதிர்ச்சியின் குறிகாட்டியாக OWASP SAMM மற்றும் BSIMM இன் ஒரு தனி நடைமுறையாகும், மேலும் 2020 இன் முதல் பாதியில், OWASP புதிய OWASP மென்பொருள் கூறு சரிபார்ப்பு தரநிலையை (SCVS) வெளியிட்டது, இது மூன்றாவது சரிபார்ப்புக்கான சிறந்த நடைமுறைகளை வழங்குகிறது. விநியோகச் சங்கிலியில் உள்ள கட்சி கூறுகள் BY.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

மிகவும் விளக்கமான நிகழ்வுகளில் ஒன்று நடந்தது மே 2017 இல் Equifax உடன். முழுப் பெயர்கள், முகவரிகள், சமூகப் பாதுகாப்பு எண்கள் மற்றும் ஓட்டுநர் உரிமங்கள் உட்பட, 143 மில்லியன் அமெரிக்கர்களைப் பற்றிய தகவல்களை அறியப்படாத தாக்குபவர்கள் பெற்றனர். 209 வழக்குகளில், ஆவணங்களில் பாதிக்கப்பட்டவர்களின் வங்கி அட்டைகள் பற்றிய தகவல்களும் அடங்கும். இந்த கசிவு Apache Struts 000 (CVE-2-2017) இல் உள்ள முக்கியமான பாதிப்பின் சுரண்டலின் விளைவாக ஏற்பட்டது, அதே நேரத்தில் திருத்தம் மார்ச் 5638 இல் வெளியிடப்பட்டது. புதுப்பிப்பை நிறுவ நிறுவனம் இரண்டு மாதங்கள் இருந்தது, ஆனால் யாரும் அதைப் பற்றி கவலைப்படவில்லை.

பகுப்பாய்வு முடிவுகளின் தரத்தின் பார்வையில் இருந்து SCA ஐ நடத்துவதற்கான ஒரு கருவியைத் தேர்ந்தெடுப்பதில் இந்த கட்டுரை விவாதிக்கப்படும். கருவிகளின் செயல்பாட்டு ஒப்பீடும் வழங்கப்படும். CI/CD மற்றும் ஒருங்கிணைப்பு திறன்களில் ஒருங்கிணைக்கும் செயல்முறை அடுத்தடுத்த வெளியீடுகளுக்கு விடப்படும். OWASP ஆல் பரந்த அளவிலான கருவிகள் வழங்கப்பட்டன உங்கள் தளத்தில், ஆனால் தற்போதைய மதிப்பாய்வில் நாங்கள் மிகவும் பிரபலமான ஓப்பன் சோர்ஸ் கருவியான சார்பு சரிபார்ப்பு, சற்று குறைவாக அறியப்பட்ட ஓப்பன் சோர்ஸ் பிளாட்ஃபார்ம் டிபென்டன்சி ட்ராக் மற்றும் எண்டர்பிரைஸ் தீர்வு Sonatype Nexus IQ ஆகியவற்றை மட்டுமே தொடுவோம். இந்த தீர்வுகள் எவ்வாறு செயல்படுகின்றன என்பதை நாங்கள் புரிந்துகொள்வோம் மற்றும் தவறான நேர்மறைகளுக்கு பெறப்பட்ட முடிவுகளை ஒப்பிடுவோம்.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

இது எப்படி வேலை

சார்பு சோதனை திட்டக் கோப்புகளை பகுப்பாய்வு செய்யும் ஒரு பயன்பாடாகும் (CLI, maven, jenkins module, ant), சார்புநிலைகள் பற்றிய தகவல்களைச் சேகரிக்கிறது (தொகுப்பு பெயர், குழும, விவரக்குறிப்பு தலைப்பு, பதிப்பு...), CPE (பொது இயங்குதளக் கணக்கீடு) வரியை உருவாக்குகிறது. , தொகுப்பு URL ( PURL) மற்றும் தரவுத்தளங்களிலிருந்து (NVD, Sonatype OSS Index, NPM Audit API...) CPE/PURLக்கான பாதிப்புகளைக் கண்டறிந்து, அதன் பிறகு HTML, JSON, XML வடிவத்தில் ஒரு முறை அறிக்கையை உருவாக்குகிறது...

CPE எப்படி இருக்கும் என்பதைப் பார்ப்போம்:

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

  • பகுதி: அப்ளிகேஷன் (அ), ஆப்பரேட்டிங் சிஸ்டம் (ஓ), ஹார்டுவேர் (எச்) (அவசியம்) ஆகியவற்றுடன் கூறு தொடர்புடையது என்பதற்கான அறிகுறி
  • விற்பனையாளர்: தயாரிப்பு உற்பத்தியாளர் பெயர் (தேவை)
  • தயாரிப்பு: தயாரிப்பு பெயர் (தேவை)
  • பதிப்பு: கூறு பதிப்பு (காலாவதியான உருப்படி)
  • மேம்படுத்தல்: தொகுப்பு புதுப்பிப்பு
  • பதிப்பு: மரபு பதிப்பு (நிறுத்தப்பட்ட உருப்படி)
  • மொழி: RFC-5646 இல் வரையறுக்கப்பட்ட மொழி
  • SW பதிப்பு: மென்பொருள் பதிப்பு
  • இலக்கு SW: தயாரிப்பு செயல்படும் மென்பொருள் சூழல்
  • இலக்கு HW: தயாரிப்பு செயல்படும் வன்பொருள் சூழல்
  • மற்ற: சப்ளையர் அல்லது தயாரிப்பு தகவல்

ஒரு எடுத்துக்காட்டு CPE இது போல் தெரிகிறது:

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

வரி என்பது CPE பதிப்பு 2.3 உற்பத்தியாளரிடமிருந்து பயன்பாட்டு கூறுகளை விவரிக்கிறது pivotal_software தலைப்புடன் spring_framework பதிப்பு 3.0.0. நாம் ஒரு பாதிப்பைத் திறந்தால் CVE-2014-0225 என்விடியில், இந்த CPE பற்றிய குறிப்பைக் காணலாம். நீங்கள் உடனடியாக கவனம் செலுத்த வேண்டிய முதல் சிக்கல் என்னவென்றால், CPE இன் படி, NVD இல் உள்ள CVE, கட்டமைப்பில் உள்ள சிக்கலைப் புகாரளிக்கிறது, ஒரு குறிப்பிட்ட கூறுகளில் அல்ல. அதாவது, டெவலப்பர்கள் கட்டமைப்போடு இறுக்கமாக இணைக்கப்பட்டிருந்தால், மற்றும் அடையாளம் காணப்பட்ட பாதிப்பு டெவலப்பர்கள் பயன்படுத்தும் அந்த தொகுதிகளை பாதிக்காது என்றால், ஒரு பாதுகாப்பு நிபுணர் ஒரு வழி அல்லது வேறு இந்த CVE ஐ பிரித்து புதுப்பிப்பதைப் பற்றி சிந்திக்க வேண்டும்.

URL ஆனது SCA கருவிகளாலும் பயன்படுத்தப்படுகிறது. தொகுப்பு URL வடிவம் பின்வருமாறு:

scheme:type/namespace/name@version?qualifiers#subpath

  • திட்டம்: இது ஒரு தொகுப்பு URL என்பதைக் குறிக்கும் 'pkg' எப்போதும் இருக்கும் (அவசியம்)
  • வகை: தொகுப்பின் "வகை" அல்லது தொகுப்பின் "நெறிமுறை", அதாவது மேவன், npm, nuget, gem, pypi போன்றவை. (தேவையான பொருள்)
  • நேம்பேஸ்: மேவன் குழு ஐடி, டோக்கர் பட உரிமையாளர், கிட்ஹப் பயனர் அல்லது அமைப்பு போன்ற சில பெயர் முன்னொட்டு. விருப்பமானது மற்றும் வகையைப் பொறுத்தது.
  • பெயர்: தொகுப்பு பெயர் (தேவை)
  • பதிப்பு: தொகுப்பு பதிப்பு
  • தகுதி பெற்றவர்கள்: OS, கட்டிடக்கலை, விநியோகம் போன்ற தொகுப்பிற்கான கூடுதல் தகுதித் தரவு. விருப்பமானது மற்றும் வகை சார்ந்தது.
  • துணைப்பாதை: தொகுப்பு ரூட்டுடன் தொடர்புடைய தொகுப்பில் கூடுதல் பாதை

உதாரணமாக:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

சார்புத் தடம் - ஒரு ஆன்-பிரைமைஸ் வெப் பிளாட்ஃபார்ம் உருவாக்கப்படும் ஆயத்த பில் ஆஃப் மெட்டீரியல்களை (BOM) ஏற்றுக்கொள்கிறது. CycloneDX и SPDX, அதாவது, ஏற்கனவே உள்ள சார்புகளைப் பற்றிய ஆயத்த விவரக்குறிப்புகள். இது சார்புகளை விவரிக்கும் XML கோப்பு - பெயர், ஹாஷ்கள், தொகுப்பு url, வெளியீட்டாளர், உரிமம். அடுத்து, டிபென்டன்சி ட்ராக் BOMஐ அலசுகிறது, பாதிப்பு தரவுத்தளத்திலிருந்து (NVD, Sonatype OSS Index...) அடையாளம் காணப்பட்ட சார்புகளுக்கு கிடைக்கும் CVEகளைப் பார்க்கிறது, அதன் பிறகு அது வரைபடங்களை உருவாக்குகிறது, அளவீடுகளைக் கணக்கிடுகிறது, கூறுகளின் பாதிப்பு நிலை குறித்த தரவைத் தொடர்ந்து புதுப்பிக்கிறது. .

XML வடிவத்தில் BOM எப்படி இருக்கும் என்பதற்கான எடுத்துக்காட்டு:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM ஆனது சார்புத் தடத்திற்கான உள்ளீட்டு அளவுருக்களாக மட்டுமல்லாமல், விநியோகச் சங்கிலியில் உள்ள மென்பொருள் கூறுகளை பட்டியலிடுவதற்கும் பயன்படுத்தப்படலாம், எடுத்துக்காட்டாக, ஒரு வாடிக்கையாளருக்கு மென்பொருளை வழங்குவதற்கு. 2014 இல், அமெரிக்காவில் கூட ஒரு சட்டம் முன்மொழியப்பட்டது "சைபர் சப்ளை செயின் மேலாண்மை மற்றும் வெளிப்படைத்தன்மை சட்டம் 2014", மென்பொருளை வாங்கும் போது, ​​எந்த மாநிலம் என்று கூறியது. பாதிக்கப்படக்கூடிய கூறுகளைப் பயன்படுத்துவதைத் தடுக்க நிறுவனம் BOM ஐக் கோர வேண்டும், ஆனால் சட்டம் இன்னும் நடைமுறைக்கு வரவில்லை.

SCA க்கு திரும்பும்போது, ​​Dependency Track ஆனது Slack, Kenna Security போன்ற பாதிப்பு மேலாண்மை அமைப்புகள் போன்ற அறிவிப்பு பிளாட்ஃபார்ம்களுடன் ஆயத்த ஒருங்கிணைப்புகளைக் கொண்டுள்ளது. சார்பு ட்ராக், மற்றவற்றுடன், தொகுப்புகளின் காலாவதியான பதிப்புகளைக் கண்டறிந்து உரிமங்களைப் பற்றிய தகவலை வழங்குகிறது (SPDX ஆதரவு காரணமாக).

SCA இன் தரத்தைப் பற்றி நாம் குறிப்பாகப் பேசினால், ஒரு அடிப்படை வேறுபாடு உள்ளது.

சார்பு டிராக் திட்டத்தை உள்ளீடாக ஏற்கவில்லை, மாறாக BOM. இதன் பொருள், நாம் திட்டத்தைச் சோதிக்க விரும்பினால், முதலில் bom.xml ஐ உருவாக்க வேண்டும், எடுத்துக்காட்டாக CycloneDX ஐப் பயன்படுத்தவும். எனவே, சார்புத் தடமானது CycloneDXஐ நேரடியாகச் சார்ந்துள்ளது. அதே நேரத்தில், இது தனிப்பயனாக்கலை அனுமதிக்கிறது. இதை OZON குழு எழுதியது CycloneDX தொகுதி கோலாங் திட்டங்களுக்கான BOM கோப்புகளை அசெம்பிள் செய்வதற்கு டிபென்டன்சி டிராக் மூலம் மேலும் ஸ்கேன் செய்ய.

Nexus IQ Sonatype இன் வணிக SCA தீர்வு, இது Sonatype சுற்றுச்சூழல் அமைப்பின் ஒரு பகுதியாகும், இதில் Nexus Repository Managerயும் அடங்கும். Nexus IQ ஆனது இணைய இடைமுகம் அல்லது API மற்றும் BOM வழியாக போர் காப்பகங்கள் (ஜாவா திட்டங்களுக்கு) இரண்டையும் உள்ளீடாக ஏற்கலாம், உங்கள் நிறுவனம் CycloneDX இலிருந்து புதிய தீர்வுக்கு மாறவில்லை என்றால். ஓப்பன் சோர்ஸ் தீர்வுகளைப் போலன்றி, IQ என்பது CP/PURL ஐ அடையாளம் காணப்பட்ட கூறு மற்றும் தரவுத்தளத்தில் அதனுடன் தொடர்புடைய பாதிப்பு ஆகியவற்றைக் குறிப்பிடுவது மட்டுமல்லாமல், அதன் சொந்த ஆராய்ச்சியையும் கணக்கில் எடுத்துக்கொள்கிறது, எடுத்துக்காட்டாக, பாதிக்கப்படக்கூடிய செயல்பாடு அல்லது வகுப்பின் பெயர். IQ இன் வழிமுறைகள் முடிவுகளின் பகுப்பாய்வில் பின்னர் விவாதிக்கப்படும்.

சில செயல்பாட்டு அம்சங்களைச் சுருக்கமாகக் கூறுவோம், மேலும் பகுப்பாய்விற்காக ஆதரிக்கப்படும் மொழிகளையும் கருத்தில் கொள்வோம்:

மொழி
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்

ஜாவா
+
+
+

சி / சி ++
+
+
-

C#
+
+
-

.Net
+
+
+

எர்லாங்
-
-
+

ஜாவாஸ்கிரிப்ட் (நோட்ஜேஎஸ்)
+
+
+

PHP
+
+
+

பைதான்
+
+
+

ரூபி
+
+
+

பேர்ல்
-
-
-

ஸ்காலா
+
+
+

குறிக்கோள் சி
+
+
-

ஸ்விஃப்ட்
+
+
-

R
+
-
-

Go
+
+
+

செயல்பாடு

செயல்பாடு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்

மூலக் குறியீட்டில் பயன்படுத்தப்படும் கூறுகள் உரிமம் பெற்ற தூய்மைக்காக சரிபார்க்கப்படுவதை உறுதி செய்யும் திறன்
+
-
+

பாதிப்புகளை ஸ்கேன் செய்து பகுப்பாய்வு செய்யும் திறன் மற்றும் டோக்கர் படங்களுக்கான உரிமம் தூய்மை
+ Clair உடன் ஒருங்கிணைப்பு
-
-

திறந்த மூல நூலகங்களைப் பயன்படுத்த பாதுகாப்புக் கொள்கைகளை உள்ளமைக்கும் திறன்
+
-
-

பாதிக்கப்படக்கூடிய கூறுகளுக்கு திறந்த மூல களஞ்சியங்களை ஸ்கேன் செய்யும் திறன்
+ ரூபிஜெம்ஸ், மேவன், என்பிஎம், நியூஜெட், பைபி, கோனன், போவர், கோண்டா, கோ, பி2, ஆர், யம், ஹெல்ம், டோக்கர், கோகோபாட்ஸ், ஜிட் எல்எஃப்எஸ்
-
+ ஹெக்ஸ், ரூபிஜெம்ஸ், மேவன், என்பிஎம், நியூஜெட், பைபி

ஒரு சிறப்பு ஆராய்ச்சி குழுவின் கிடைக்கும் தன்மை
+
-
-

மூடிய வளைய செயல்பாடு
+
+
+

மூன்றாம் தரப்பு தரவுத்தளங்களைப் பயன்படுத்துதல்
+ மூடிய சொனாடைப் தரவுத்தளம்
+ சோனாடைப் OSS, NPM பொது ஆலோசகர்கள்
+ Sonatype OSS, NPM பொது ஆலோசகர்கள், RetireJS, VulnDB, அதன் சொந்த பாதிப்பு தரவுத்தளத்திற்கான ஆதரவு

கட்டமைக்கப்பட்ட கொள்கைகளின்படி டெவலப்மெண்ட் லூப்பில் ஏற்ற முயற்சிக்கும்போது திறந்த மூல கூறுகளை வடிகட்டுவதற்கான திறன்
+
-
-

பாதிப்புகளைச் சரிசெய்வதற்கான பரிந்துரைகள், திருத்தங்களுக்கான இணைப்புகளின் இருப்பு
+
+- (பொது தரவுத்தளங்களில் உள்ள விளக்கத்தைப் பொறுத்தது)
+- (பொது தரவுத்தளங்களில் உள்ள விளக்கத்தைப் பொறுத்தது)

தீவிரத்தன்மையின் அடிப்படையில் கண்டறியப்பட்ட பாதிப்புகளின் தரவரிசை
+
+
+

பங்கு அடிப்படையிலான அணுகல் மாதிரி
+
-
+

CLI ஆதரவு
+
+
+- (CycloneDX க்கு மட்டும்)

வரையறுக்கப்பட்ட அளவுகோல்களின்படி பாதிப்புகளை மாதிரி/வரிசைப்படுத்துதல்
+
-
+

விண்ணப்ப நிலையின்படி டாஷ்போர்டு
+
-
+

PDF வடிவத்தில் அறிக்கைகளை உருவாக்குதல்
+
-
-

JSONCSV வடிவத்தில் அறிக்கைகளை உருவாக்குகிறது
+
+
-

ரஷ்ய மொழி ஆதரவு
-
-
-

ஒருங்கிணைப்பு திறன்கள்

ஒருங்கிணைப்பு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்

LDAP/ஆக்டிவ் டைரக்டரி ஒருங்கிணைப்பு
+
-
+

மூங்கில் தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புடன் ஒருங்கிணைப்பு
+
-
-

தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புடன் ஒருங்கிணைப்பு TeamCity
+
-
-

தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்பு GitLab உடன் ஒருங்கிணைப்பு
+
+- (GitLab க்கான செருகுநிரலாக)
+

தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புடன் ஒருங்கிணைப்பு ஜென்கின்ஸ்
+
+
+

IDEக்கான செருகுநிரல்களின் கிடைக்கும் தன்மை
+ IntelliJ, எக்லிப்ஸ், விஷுவல் ஸ்டுடியோ
-
-

கருவியின் இணைய சேவைகள் (API) வழியாக தனிப்பயன் ஒருங்கிணைப்புக்கான ஆதரவு
+
-
+

சார்பு சோதனை

முதலில் தொடங்குங்கள்

வேண்டுமென்றே பாதிக்கப்படக்கூடிய பயன்பாட்டில் சார்பு சரிபார்ப்பை இயக்குவோம் டி.வி.ஜே.ஏ.

இதற்காக நாம் பயன்படுத்துவோம் சார்பு சோதனை மேவன் செருகுநிரல்:

mvn org.owasp:dependency-check-maven:check

இதன் விளைவாக, சார்பு-சரிபார்ப்பு-report.html இலக்கு கோப்பகத்தில் தோன்றும்.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

கோப்பை திறப்போம். பாதிப்புகளின் மொத்த எண்ணிக்கையைப் பற்றிய சுருக்கமான தகவலுக்குப் பிறகு, பாதிப்புகள் பற்றிய தகவல்களை அதிக அளவு தீவிரத்தன்மை மற்றும் நம்பிக்கையுடன் பார்க்கலாம், இது தொகுப்பு, CPE மற்றும் CVEகளின் எண்ணிக்கையைக் குறிக்கிறது.

அடுத்து இன்னும் விரிவான தகவல்கள் வரும், குறிப்பாக எந்த அடிப்படையில் முடிவு எடுக்கப்பட்டது (ஆதாரம்), அதாவது ஒரு குறிப்பிட்ட BOM.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

அடுத்து CPE, PURL மற்றும் CVE விளக்கம் வரும். என்விடி தரவுத்தளத்தில் இல்லாததால், திருத்தத்திற்கான பரிந்துரைகள் சேர்க்கப்படவில்லை.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

ஸ்கேன் முடிவுகளை முறையாகப் பார்க்க, நீங்கள் Nginx ஐ குறைந்தபட்ச அமைப்புகளுடன் உள்ளமைக்கலாம் அல்லது அதன் விளைவாக ஏற்படும் குறைபாடுகளை சார்பு சரிபார்ப்பிற்கான இணைப்பிகளை ஆதரிக்கும் குறைபாடு மேலாண்மை அமைப்புக்கு அனுப்பலாம். எடுத்துக்காட்டாக, குறைபாடு டோஜோ.

சார்புத் தடம்

நிறுவல்

சார்பு ட்ராக், இதையொட்டி, காட்சி வரைபடங்களைக் கொண்ட இணைய அடிப்படையிலான தளமாகும், எனவே மூன்றாம் தரப்பு தீர்வில் குறைபாடுகளைச் சேமிப்பதில் அழுத்தமான சிக்கல் இங்கு எழாது.
நிறுவலுக்கான ஆதரிக்கப்படும் ஸ்கிரிப்டுகள்: டோக்கர், வார், எக்ஸிகியூடபிள் வார்.

முதலில் தொடங்குங்கள்

இயங்கும் சேவையின் URL க்கு செல்கிறோம். நாங்கள் நிர்வாகி/நிர்வாகி வழியாக உள்நுழைந்து, உள்நுழைவு மற்றும் கடவுச்சொல்லை மாற்றி, பின்னர் டாஷ்போர்டைப் பெறுவோம். அடுத்ததாக ஜாவாவில் சோதனை பயன்பாட்டிற்கான திட்டத்தை உருவாக்குவோம் வீடு/திட்டங்கள் → திட்டத்தை உருவாக்கவும் . உதாரணத்திற்கு டி.வி.ஜே.யை எடுத்துக் கொள்வோம்.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

சார்பு ட்ராக் BOM ஐ உள்ளீடாக மட்டுமே ஏற்க முடியும் என்பதால், இந்த BOM மீட்டெடுக்கப்பட வேண்டும். பயன் பெறுவோம் CycloneDX மேவன் செருகுநிரல்:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

நாங்கள் bom.xml ஐப் பெற்று உருவாக்கிய திட்டத்தில் கோப்பை ஏற்றுவோம் DVJA → சார்புநிலைகள் → பதிவேற்றம் BOM.

நிர்வாகம் → அனலைசர்களுக்கு செல்லலாம். எங்களிடம் உள் பகுப்பாய்வி மட்டுமே இயக்கப்பட்டுள்ளது என்பதை நாங்கள் புரிந்துகொள்கிறோம், இதில் என்விடியும் அடங்கும். Sonatype OSS Indexஐயும் இணைப்போம்.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

எனவே, எங்கள் திட்டத்திற்கான பின்வரும் படத்தைப் பெறுகிறோம்:

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

பட்டியலில் நீங்கள் Sonatype OSS க்கு பொருந்தக்கூடிய ஒரு பாதிப்பைக் காணலாம்:

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

முக்கிய ஏமாற்றம் என்னவென்றால், டிபென்டன்சி ட்ராக் இனி சார்பு சரிபார்ப்பு xml அறிக்கைகளை ஏற்காது. சார்பு சரிபார்ப்பு ஒருங்கிணைப்பின் சமீபத்திய ஆதரவு பதிப்புகள் 1.0.0 - 4.0.2, நான் 5.3.2 ஐ சோதித்தேன்.

இங்கே видео (மற்றும் இங்கே) அது இன்னும் சாத்தியமாக இருந்தபோது.

Nexus IQ

முதலில் தொடங்குங்கள்

Nexus IQ இன் நிறுவல் காப்பகங்களில் இருந்து வருகிறது ஆவணங்கள், ஆனால் இந்த நோக்கங்களுக்காக நாங்கள் ஒரு டோக்கர் படத்தை உருவாக்கினோம்.

கன்சோலில் உள்நுழைந்த பிறகு, நீங்கள் ஒரு அமைப்பு மற்றும் பயன்பாட்டை உருவாக்க வேண்டும்.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

நீங்கள் பார்க்க முடியும் என, IQ இன் அமைப்பானது சற்று சிக்கலானது, ஏனென்றால் வெவ்வேறு "நிலைகளுக்கு" (dev, build, stage, release) பொருந்தக்கூடிய கொள்கைகளையும் நாங்கள் உருவாக்க வேண்டும். உற்பத்திக்கு அருகில் குழாய் வழியாகச் செல்லும் போது பாதிக்கப்படக்கூடிய கூறுகளைத் தடுக்க அல்லது டெவலப்பர்களால் பதிவிறக்கம் செய்யும்போது Nexus Repo இல் நுழைந்தவுடன் அவற்றைத் தடுக்க இது அவசியம்.

ஓப்பன் சோர்ஸ் மற்றும் எண்டர்பிரைஸ் இடையே உள்ள வித்தியாசத்தை உணர, Nexus IQ மூலம் அதே ஸ்கேன் மூலம் அதே வழியில் செய்யலாம் மேவன் சொருகி, முன்பு NexusIQ இடைமுகத்தில் சோதனைப் பயன்பாட்டை உருவாக்கியது dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

IQ இணைய இடைமுகத்தில் உருவாக்கப்பட்ட அறிக்கைக்கு URL ஐப் பின்தொடரவும்:

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

வெவ்வேறு முக்கியத்துவ நிலைகளைக் குறிக்கும் அனைத்து கொள்கை மீறல்களையும் இங்கே காணலாம் (தகவல் முதல் பாதுகாப்பு முக்கியத்துவம் வரை). கூறுக்கு அடுத்துள்ள D எழுத்து என்பது கூறு நேரடி சார்பு என்றும், கூறுக்கு அடுத்துள்ள T எழுத்து என்பது கூறு டிரான்சிடிவ் சார்பு என்றும், அதாவது, அது மாறக்கூடியது என்றும் பொருள்.

மூலம், அறிக்கை திறந்த மூல பாதுகாப்பு அறிக்கை 2020 Node.js, Java மற்றும் Ruby ஆகியவற்றில் கண்டறியப்பட்ட திறந்த மூல பாதிப்புகளில் 70%க்கும் அதிகமானவை இடைநிலை சார்புநிலையில் இருப்பதாக Snyk தெரிவிக்கிறது.

Nexus IQ கொள்கை மீறல்களில் ஒன்றைத் திறந்தால், கூறுகளின் விளக்கத்தையும், பதிப்பு வரைபடத்தையும் பார்க்கலாம், இது நேர வரைபடத்தில் தற்போதைய பதிப்பின் இருப்பிடத்தைக் காட்டுகிறது, அதே போல் எந்த கட்டத்தில் பாதிப்பு நிறுத்தப்படும் பாதிக்கப்படக்கூடியதாக இருக்கும். வரைபடத்தில் உள்ள மெழுகுவர்த்திகளின் உயரம் இந்த கூறுகளைப் பயன்படுத்துவதற்கான பிரபலத்தைக் காட்டுகிறது.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

நீங்கள் பாதிப்புகள் பிரிவுக்குச் சென்று CVE ஐ விரிவுபடுத்தினால், இந்த பாதிப்பு பற்றிய விளக்கம், நீக்குவதற்கான பரிந்துரைகள் மற்றும் இந்த கூறு மீறப்பட்டதற்கான காரணம், அதாவது வகுப்பின் இருப்பு ஆகியவற்றைப் படிக்கலாம். DiskFileitem.class.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

js கூறுகளை நீக்கி, மூன்றாம் தரப்பு ஜாவா கூறுகளுடன் தொடர்புடையவற்றை மட்டும் சுருக்கமாகக் கூறுவோம். அடைப்புக்குறிக்குள் NVDக்கு வெளியே கண்டறியப்பட்ட பாதிப்புகளின் எண்ணிக்கையைக் குறிப்பிடுகிறோம்.

மொத்த Nexus IQ:

  • ஸ்கேன் செய்யப்பட்ட சார்புநிலைகள்: 62
  • பாதிக்கப்படக்கூடிய சார்புநிலைகள்: 16
  • பாதிப்புகள் கண்டறியப்பட்டன: 42 (8 சொனாடைப் டிபி)

மொத்த சார்பு சரிபார்ப்பு:

  • ஸ்கேன் செய்யப்பட்ட சார்புநிலைகள்: 47
  • பாதிக்கப்படக்கூடிய சார்புநிலைகள்: 13
  • பாதிப்புகள் கண்டறியப்பட்டன: 91 (14 சொனாடைப் ஓஸ்)

மொத்த சார்புத் தடம்:

  • சார்புகள் ஸ்கேன் செய்யப்பட்டவை: 59
  • பாதிக்கப்படக்கூடிய சார்புநிலைகள்: 10
  • பாதிப்புகள் கண்டறியப்பட்டன: 51 (1 சொனாடைப் ஓஸ்)

அடுத்த படிகளில், பெறப்பட்ட முடிவுகளை நாங்கள் பகுப்பாய்வு செய்வோம் மற்றும் இந்த பாதிப்புகளில் எது உண்மையான குறைபாடு மற்றும் எது தவறானது என்பதைக் கண்டுபிடிப்போம்.

மறுப்பு

இந்த விமர்சனம் மறுக்க முடியாத உண்மை அல்ல. மற்றவர்களின் பின்னணிக்கு எதிராக ஒரு தனி கருவியை முன்னிலைப்படுத்த ஆசிரியருக்கு ஒரு குறிக்கோள் இல்லை. மதிப்பாய்வின் நோக்கம் SCA கருவிகளின் செயல்பாட்டின் வழிமுறைகள் மற்றும் அவற்றின் முடிவுகளைச் சரிபார்க்கும் வழிகளைக் காண்பிப்பதாகும்.

முடிவுகளின் ஒப்பீடு

நிலைகள்:

மூன்றாம் தரப்பு கூறு பாதிப்புகளுக்கான தவறான நேர்மறை:

  • அடையாளம் காணப்பட்ட கூறுகளுடன் CVE பொருந்தவில்லை
  • எடுத்துக்காட்டாக, ஸ்ட்ரட்ஸ்2 கட்டமைப்பில் பாதிப்பு அடையாளம் காணப்பட்டால், மற்றும் கருவியானது ஸ்ட்ரட்ஸ்-டைல்ஸ் கட்டமைப்பின் ஒரு கூறுகளைச் சுட்டிக்காட்டினால், இந்த பாதிப்பு பொருந்தாது, இது தவறான நேர்மறையாகும்.
  • கூறுகளின் அடையாளம் காணப்பட்ட பதிப்பிற்கு CVE பொருந்தவில்லை
  • எடுத்துக்காட்டாக, பாதிப்பு பைதான் பதிப்பு > 3.5 உடன் இணைக்கப்பட்டுள்ளது மற்றும் கருவி பதிப்பு 2.7 பாதிக்கப்படக்கூடியதாகக் குறிக்கிறது - இது தவறான நேர்மறை, உண்மையில் பாதிப்பு 3.x தயாரிப்பு கிளைக்கு மட்டுமே பொருந்தும்.
  • நகல் CVE
  • எடுத்துக்காட்டாக, RCE ஐ செயல்படுத்தும் CVEயை SCA குறிப்பிட்டால், அந்த RCE ஆல் பாதிக்கப்பட்ட Cisco தயாரிப்புகளுக்குப் பொருந்தும் அதே கூறுக்கான CVE ஐ SCA குறிப்பிடுகிறது. இந்த வழக்கில் அது தவறான நேர்மறையாக இருக்கும்.
  • எடுத்துக்காட்டாக, ஸ்பிரிங்-வெப் பாகத்தில் ஒரு CVE கண்டறியப்பட்டது, அதன் பிறகு SCA ஆனது அதே CVEஐ ஸ்பிரிங் ஃப்ரேம்வொர்க்கின் மற்ற கூறுகளில் சுட்டிக்காட்டுகிறது, அதே சமயம் CVE க்கு மற்ற கூறுகளுடன் எந்த தொடர்பும் இல்லை. இந்த வழக்கில் அது தவறான நேர்மறையாக இருக்கும்.

ஆய்வின் பொருள் திறந்த மூல திட்டமான DVJA ஆகும். ஆய்வு ஜாவா கூறுகளை மட்டுமே உள்ளடக்கியது (js இல்லாமல்).

சுருக்கமான முடிவுகள்

அடையாளம் காணப்பட்ட பாதிப்புகளின் கைமுறை மதிப்பாய்வின் முடிவுகளுக்கு நேராக செல்வோம். ஒவ்வொரு CVEக்கான முழு அறிக்கையையும் பின்னிணைப்பில் காணலாம்.

அனைத்து பாதிப்புகளுக்கும் சுருக்கமான முடிவுகள்:

அளவுரு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்

மொத்த பாதிப்புகள் கண்டறியப்பட்டுள்ளன
42
91
51

தவறாக அடையாளம் காணப்பட்ட பாதிப்புகள் (தவறான நேர்மறை)
2 (4.76%)
62 (68,13%)
29 (56.86%)

தொடர்புடைய பாதிப்புகள் எதுவும் இல்லை (தவறான எதிர்மறை)
10
20
27

கூறுகளின் அடிப்படையில் சுருக்கமான முடிவுகள்:

அளவுரு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்

மொத்த கூறுகள் அடையாளம் காணப்பட்டன
62
47
59

மொத்த பாதிக்கப்படக்கூடிய கூறுகள்
16
13
10

தவறாக அடையாளம் காணப்பட்ட பாதிக்கப்படக்கூடிய கூறுகள் (தவறான நேர்மறை)
1
5
0

தவறாக அடையாளம் காணப்பட்ட பாதிக்கப்படக்கூடிய கூறுகள் (தவறான நேர்மறை)
0
6
6

மொத்த பாதிப்புகளின் எண்ணிக்கைக்கு தவறான நேர்மறை மற்றும் தவறான எதிர்மறை ஆகியவற்றின் விகிதத்தை மதிப்பிடுவதற்கு காட்சி வரைபடங்களை உருவாக்குவோம். கூறுகள் கிடைமட்டமாகக் குறிக்கப்படுகின்றன, மேலும் அவற்றில் அடையாளம் காணப்பட்ட பாதிப்புகள் செங்குத்தாகக் குறிக்கப்படுகின்றன.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

ஒப்பிடுகையில், OWASP சார்பு சரிபார்ப்பைப் பயன்படுத்தி 1531 கூறுகளின் திட்டத்தை சோனாடைப் குழு சோதிப்பதன் மூலம் இதேபோன்ற ஆய்வு நடத்தப்பட்டது. நாம் பார்க்கிறபடி, சரியான பதில்களுக்கான சத்தத்தின் விகிதம் எங்கள் முடிவுகளுடன் ஒப்பிடத்தக்கது.

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று
ஆதாரம்: www.sonatype.com/why-precision-matters-ebook

இந்த முடிவுகளுக்கான காரணத்தைப் புரிந்துகொள்ள, எங்கள் ஸ்கேன் முடிவுகளிலிருந்து சில CVEகளைப் பார்ப்போம்.

மேலும் படிக்க

№1

Sonatype Nexus IQ பற்றிய சில சுவாரஸ்யமான விஷயங்களை முதலில் பார்க்கலாம்.

Nexus IQ ஆனது ஸ்பிரிங் ஃப்ரேம்வொர்க்கில் RCE ஐ பலமுறை செய்யும் திறனுடன் டீரியலைசேஷன் பிரச்சனையை சுட்டிக்காட்டுகிறது. CVE-2016-1000027 ஸ்பிரிங்-வெப்:3.0.5 முதல் முறை, மற்றும் CVE-2011-2894 வசந்த-சூழல்:3.0.5 மற்றும் ஸ்பிரிங்-கோர்:3.0.5. முதலில், பல CVEகள் முழுவதும் பாதிப்பின் நகல் இருப்பதாகத் தோன்றுகிறது. ஏனெனில், என்விடி தரவுத்தளத்தில் CVE-2016-1000027 மற்றும் CVE-2011-2894 ஆகியவற்றைப் பார்த்தால், எல்லாம் தெளிவாகத் தெரிகிறது.

கூறு
பாதிப்பு

வசந்த-வலை:3.0.5
CVE-2016-1000027

வசந்த-சூழல்:3.0.5
CVE-2011-2894

ஸ்பிரிங்-கோர்:3.0.5
CVE-2011-2894

விளக்கம் CVE-2011-2894 என்விடியில் இருந்து:
DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

விளக்கம் CVE-2016-1000027 என்விடியில் இருந்து:
DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

CVE-2011-2894 மிகவும் பிரபலமானது. அறிக்கையில் வெள்ளை ஆதாரம் 2011 இந்த CVE மிகவும் பொதுவான ஒன்றாக அங்கீகரிக்கப்பட்டது. CVE-2016-100027 க்கான விளக்கங்கள், கொள்கையளவில், NVD இல் குறைவாகவே உள்ளன, மேலும் இது ஸ்பிரிங் ஃப்ரேம்வொர்க் 4.1.4க்கு மட்டுமே பொருந்தும். ஒரு முறை பார்க்கலாம் குறிப்பு இங்கே எல்லாம் அதிகமாகவோ அல்லது குறைவாகவோ தெளிவாகிறது. இருந்து ஏற்றுக்கொள்ளக்கூடிய கட்டுரைகள் உள்ள பாதிப்புக்கு கூடுதலாக என்பதை நாங்கள் புரிந்துகொள்கிறோம் RemoteInvocationSerializingExporter CVE-2011-2894 இல், பாதிப்பு கவனிக்கப்படுகிறது HttpInvokerServiceExporter. Nexus IQ நமக்குச் சொல்வது இதுதான்:

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

இருப்பினும், என்விடியில் இது போன்ற எதுவும் இல்லை, அதனால்தான் சார்பு சரிபார்ப்பு மற்றும் சார்பு ட்ராக் ஒவ்வொன்றும் தவறான எதிர்மறையைப் பெறுகின்றன.

மேலும் CVE-2011-2894 இன் விளக்கத்திலிருந்து, பாதிப்பு உண்மையில் வசந்த-சூழல்:3.0.5 மற்றும் ஸ்பிரிங்-கோர்:3.0.5 ஆகிய இரண்டிலும் உள்ளது என்பதை புரிந்து கொள்ளலாம். இந்த பாதிப்பைக் கண்டறிந்த நபரின் கட்டுரையில் இதை உறுதிப்படுத்தலாம்.

№2

கூறு
பாதிப்பு
விளைவாக

ஸ்ட்ரட்ஸ்2-கோர்:2.3.30
CVE-2016-4003
பொய்யா

பாதிப்பு CVE-2016-4003ஐப் படித்தால், அது பதிப்பு 2.3.28 இல் சரி செய்யப்பட்டது என்பதைப் புரிந்துகொள்வோம், இருப்பினும், Nexus IQ அதை எங்களுக்குத் தெரிவிக்கிறது. பாதிப்பின் விளக்கத்தில் ஒரு குறிப்பு உள்ளது:

DevSecOps: செயல்பாட்டின் கொள்கைகள் மற்றும் SCA இன் ஒப்பீடு. பகுதி ஒன்று

அதாவது, JRE இன் காலாவதியான பதிப்போடு இணைந்து மட்டுமே பாதிப்பு உள்ளது, அவர்கள் எங்களை எச்சரிக்க முடிவு செய்தனர். இருப்பினும், மோசமானதாக இல்லாவிட்டாலும், இந்த தவறான நேர்மறையாக நாங்கள் கருதுகிறோம்.

# 3

கூறு
பாதிப்பு
விளைவாக

xwork-core:2.3.30
CVE-2017-9804
உண்மை

xwork-core:2.3.30
CVE-2017-7672
பொய்யா

CVE-2017-9804 மற்றும் CVE-2017-7672 ஆகியவற்றின் விளக்கங்களைப் பார்த்தால், பிரச்சனை என்பது நமக்குப் புரியும். URLValidator class, CVE-2017-9804 உடன் CVE-2017-7672 இலிருந்து உருவாகிறது. இரண்டாவது பாதிப்பின் இருப்பு அதன் தீவிரம் உயர்வாக அதிகரித்துள்ளது என்பதைத் தவிர வேறு எந்த பயனுள்ள சுமையையும் சுமக்காது, எனவே தேவையற்ற சத்தத்தை நாம் கருத்தில் கொள்ளலாம்.

மொத்தத்தில், Nexus IQ க்கு வேறு தவறான நேர்மறைகள் எதுவும் கண்டறியப்படவில்லை.

№4

IQ மற்ற தீர்வுகளிலிருந்து தனித்து நிற்கும் பல விஷயங்கள் உள்ளன.

கூறு
பாதிப்பு
விளைவாக

வசந்த-வலை:3.0.5
CVE-2020-5398
உண்மை

NVD இல் உள்ள CVE ஆனது 5.2 க்கு முன் 5.2.3.x, 5.1 க்கு முன் 5.1.13.x மற்றும் 5.0 க்கு முந்தைய 5.0.16.x பதிப்புகளுக்கு மட்டுமே பொருந்தும் என்று கூறுகிறது, இருப்பினும், Nexus IQ இல் உள்ள CVE விளக்கத்தைப் பார்த்தால் , பின் பின்வருவனவற்றைக் காண்போம்:
ஆலோசனை விலகல் அறிவிப்பு: Sonatype பாதுகாப்பு ஆராய்ச்சி குழு, இந்த பாதிப்பு பதிப்பு 3.0.2.RELEASE இல் அறிமுகப்படுத்தப்பட்டது மற்றும் ஆலோசனையில் கூறப்பட்டுள்ளபடி 5.0.x அல்ல என்பதைக் கண்டறிந்துள்ளது.

இதைத் தொடர்ந்து இந்த பாதிப்புக்கான PoC உள்ளது, இது பதிப்பு 3.0.5 இல் இருப்பதாகக் கூறுகிறது.

தவறான எதிர்மறையானது சார்பு சரிபார்ப்பு மற்றும் சார்புத் தடத்திற்கு அனுப்பப்படும்.

№5

சார்பு சரிபார்ப்பு மற்றும் சார்புத் தடத்திற்கான தவறான நேர்மறையைப் பார்ப்போம்.

இந்த CVEகள் பொருந்தாத கூறுகளுக்கு NVD இல் உள்ள முழு கட்டமைப்பிற்கும் பொருந்தும் அந்த CVEகளை இது பிரதிபலிக்கிறது என்பதில் சார்பு சரிபார்ப்பு தனித்து நிற்கிறது. இது CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016 ஆகியவற்றைச் சரிபார்த்துள்ளது. ” க்கு struts-taglib:1182 மற்றும் struts-tiles-1.3.8. இந்த கூறுகளுக்கு CVE - கோரிக்கை செயலாக்கம், பக்க சரிபார்ப்பு மற்றும் பலவற்றில் விவரிக்கப்பட்டுள்ளவற்றுடன் எந்த தொடர்பும் இல்லை. இந்த CVEகள் மற்றும் கூறுகள் பொதுவான கட்டமைப்பை மட்டுமே கொண்டிருப்பதே இதற்குக் காரணம், அதனால்தான் சார்பு சரிபார்ப்பு ஒரு பாதிப்பாகக் கருதப்பட்டது.

அதே நிலை ஸ்பிரிங்-tx:3.0.5, மற்றும் ஸ்ட்ரட்ஸ்-கோர்:1.3.8 உடன் இதே நிலை. struts-core க்கு, சார்பு சரிபார்ப்பு மற்றும் சார்பு ட்ராக் ஆகியவை struts2-core க்கு உண்மையில் பொருந்தக்கூடிய பல பாதிப்புகளைக் கண்டறிந்துள்ளன, இது அடிப்படையில் ஒரு தனி கட்டமைப்பாகும். இந்த வழக்கில், Nexus IQ சரியாக படத்தைப் புரிந்து கொண்டது மற்றும் அது வெளியிட்ட CVE களில், ஸ்ட்ரட்ஸ்-கோர் வாழ்க்கையின் முடிவை அடைந்துவிட்டதாகவும், ஸ்ட்ரட்ஸ்2-கோருக்கு செல்ல வேண்டியது அவசியம் என்றும் சுட்டிக்காட்டியது.

№6

சில சூழ்நிலைகளில், வெளிப்படையான சார்பு சரிபார்ப்பு மற்றும் சார்புத் தடப் பிழையை விளக்குவது நியாயமற்றது. குறிப்பாக CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014 டிபென்சி செக், இது 0225dd3.0.5d- ஸ்பிரிங்-கோர்:3.0.5 என்பது உண்மையில் ஸ்பிரிங்-வெப்:XNUMXக்கு சொந்தமானது. அதே நேரத்தில், இந்த CVE களில் சிலவும் Nexus IQ ஆல் கண்டறியப்பட்டன, இருப்பினும், IQ அவற்றை மற்றொரு கூறுக்கு சரியாக அடையாளம் கண்டுள்ளது. இந்த பாதிப்புகள் ஸ்பிரிங்-கோரில் காணப்படாததால், அவை கொள்கையளவில் கட்டமைப்பில் இல்லை என்று வாதிட முடியாது மற்றும் திறந்த மூலக் கருவிகள் இந்த பாதிப்புகளை சரியாகச் சுட்டிக்காட்டியுள்ளன (அவை கொஞ்சம் தவறவிட்டன).

கண்டுபிடிப்புகள்

நாம் பார்க்கிறபடி, கைமுறை மதிப்பாய்வு மூலம் அடையாளம் காணப்பட்ட பாதிப்புகளின் நம்பகத்தன்மையை தீர்மானிப்பது தெளிவற்ற முடிவுகளைத் தராது, அதனால்தான் சர்ச்சைக்குரிய சிக்கல்கள் எழுகின்றன. முடிவுகள் என்னவென்றால், Nexus IQ தீர்வு மிகக் குறைந்த தவறான நேர்மறை விகிதத்தையும் அதிக துல்லியத்தையும் கொண்டுள்ளது.

முதலாவதாக, Sonatype குழு அதன் தரவுத்தளங்களில் NVD இலிருந்து ஒவ்வொரு CVE பாதிப்புக்கான விளக்கத்தையும் விரிவுபடுத்தியுள்ளது, இது ஒரு குறிப்பிட்ட பதிப்பு கூறுகளின் பாதிப்புகளை வகுப்பு அல்லது செயல்பாடு வரை, கூடுதல் ஆராய்ச்சியை மேற்கொள்கிறது (எடுத்துக்காட்டாக. , பழைய மென்பொருள் பதிப்புகளில் உள்ள பாதிப்புகளைச் சரிபார்த்தல்).

என்விடியில் சேர்க்கப்படாத பாதிப்புகளால் முடிவுகளில் முக்கியமான செல்வாக்கு செலுத்தப்படுகிறது, ஆனால் சோனாடைப் தரவுத்தளத்தில் சோனாடைப் குறியுடன் உள்ளது. அறிக்கையின்படி திறந்த மூல பாதுகாப்பு பாதிப்புகளின் நிலை 2020 கண்டுபிடிக்கப்பட்ட ஓப்பன் சோர்ஸ் பாதிப்புகளில் 45% என்விடிக்கு தெரிவிக்கப்படவில்லை. வைட் சோர்ஸ் தரவுத்தளத்தின்படி, என்விடிக்கு வெளியே அறிவிக்கப்பட்ட அனைத்து ஓப்பன் சோர்ஸ் பாதிப்புகளில் 29% மட்டுமே அங்கு வெளியிடப்படுகின்றன, அதனால்தான் மற்ற ஆதாரங்களிலும் பாதிப்புகளைக் கண்டறிவது முக்கியம்.

இதன் விளைவாக, சார்பு சரிபார்ப்பு அதிக சத்தத்தை உருவாக்குகிறது, சில பாதிக்கப்படக்கூடிய கூறுகளைக் காணவில்லை. சார்பு ட்ராக் குறைந்த சத்தத்தை உருவாக்குகிறது மற்றும் அதிக எண்ணிக்கையிலான கூறுகளைக் கண்டறிகிறது, இது வலை இடைமுகத்தில் பார்வைக்கு கண்களை காயப்படுத்தாது.

இருப்பினும், ஓப்பன் சோர்ஸ் முதிர்ந்த DevSecOps ஐ நோக்கிய முதல் படியாக இருக்க வேண்டும் என்பதை நடைமுறை காட்டுகிறது. வளர்ச்சியில் SCA ஐ ஒருங்கிணைக்கும் போது நீங்கள் முதலில் சிந்திக்க வேண்டியது செயல்முறைகள் ஆகும், அதாவது, உங்கள் நிறுவனத்தில் சிறந்த செயல்முறைகள் எப்படி இருக்க வேண்டும் என்பதைப் பற்றி மேலாண்மை மற்றும் தொடர்புடைய துறைகளுடன் இணைந்து சிந்திக்க வேண்டும். உங்கள் நிறுவனத்திற்கு, முதலில், சார்பு சரிபார்ப்பு அல்லது சார்புத் தடம் அனைத்து வணிகத் தேவைகளையும் உள்ளடக்கும், மேலும் வளர்ந்து வரும் பயன்பாடுகளின் சிக்கலான தன்மை காரணமாக நிறுவன தீர்வுகள் தர்க்கரீதியான தொடர்ச்சியாக இருக்கும்.

இணைப்பு A: கூறு முடிவுகள்
விளக்கம்:

  • கூறுகளில் உயர்-உயர் மற்றும் முக்கியமான நிலை பாதிப்புகள்
  • நடுத்தர — கூறுகளில் நடுத்தர விமர்சன நிலை பாதிப்புகள்
  • உண்மை - உண்மையான நேர்மறையான பிரச்சினை
  • FALSE - தவறான நேர்மறை பிரச்சினை

கூறு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்
விளைவாக

dom4j: 1.6.1
உயர்
உயர்
உயர்
உண்மை

log4j-core: 2.3
உயர்
உயர்
உயர்
உண்மை

log4j: 1.2.14
உயர்
உயர்
-
உண்மை

பொதுவான சேகரிப்புகள்:3.1
உயர்
உயர்
உயர்
உண்மை

commons-fileupload:1.3.2
உயர்
உயர்
உயர்
உண்மை

commons-beanutils:1.7.0
உயர்
உயர்
உயர்
உண்மை

commons-codec:1:10
நடுத்தர
-
-
உண்மை

mysql-connector-java:5.1.42
உயர்
உயர்
உயர்
உண்மை

வசந்த-வெளிப்பாடு:3.0.5
உயர்
கூறு காணப்படவில்லை

உண்மை

வசந்த-வலை:3.0.5
உயர்
கூறு காணப்படவில்லை
உயர்
உண்மை

வசந்த-சூழல்:3.0.5
நடுத்தர
கூறு காணப்படவில்லை
-
உண்மை

ஸ்பிரிங்-கோர்:3.0.5
நடுத்தர
உயர்
உயர்
உண்மை

struts2-config-browser-plugin:2.3.30
நடுத்தர
-
-
உண்மை

வசந்த-tx:3.0.5
-
உயர்
-
பொய்யா

ஸ்ட்ரட்ஸ்-கோர்:1.3.8
உயர்
உயர்
உயர்
உண்மை

xwork-core: 2.3.30
உயர்
-
-
உண்மை

ஸ்ட்ரட்ஸ்2-கோர்: 2.3.30
உயர்
உயர்
உயர்
உண்மை

struts-taglib:1.3.8
-
உயர்
-
பொய்யா

ஸ்ட்ரட்ஸ்-டைல்ஸ்-1.3.8
-
உயர்
-
பொய்யா

பின் இணைப்பு B: பாதிப்பு முடிவுகள்
விளக்கம்:

  • கூறுகளில் உயர்-உயர் மற்றும் முக்கியமான நிலை பாதிப்புகள்
  • நடுத்தர — கூறுகளில் நடுத்தர விமர்சன நிலை பாதிப்புகள்
  • உண்மை - உண்மையான நேர்மறையான பிரச்சினை
  • FALSE - தவறான நேர்மறை பிரச்சினை

கூறு
Nexus IQ
சார்பு சோதனை
சார்புத் தடம்
தீவிரத்தன்மை
விளைவாக
கருத்து

dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
உயர்
உண்மை

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
உயர்
உண்மை

log4j-core: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
உயர்
உண்மை

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
குறைந்த
உண்மை

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
உயர்
உண்மை

-
CVE-2020-9488
-
குறைந்த
உண்மை

SONATYPE-2010-0053
-
-
உயர்
உண்மை

பொதுவான சேகரிப்புகள்:3.1
-
CVE-2015-6420
CVE-2015-6420
உயர்
பொய்யா
பிரதிகள் RCE(OSSINDEX)

-
CVE-2017-15708
CVE-2017-15708
உயர்
பொய்யா
பிரதிகள் RCE(OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
உயர்
உண்மை

commons-fileupload:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
உயர்
உண்மை

SONATYPE-2014-0173
-
-
நடுத்தர
உண்மை

commons-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
உயர்
உண்மை

-
CVE-2019-10086
CVE-2019-10086
உயர்
பொய்யா
பாதிப்பு 1.9.2+ பதிப்புகளுக்கு மட்டுமே பொருந்தும்

commons-codec:1:10
SONATYPE-2012-0050
-
-
நடுத்தர
உண்மை

mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
உயர்
உண்மை

CVE-2019-2692
CVE-2019-2692
-
நடுத்தர
உண்மை

-
CVE-2020-2875
-
நடுத்தர
பொய்யா
CVE-2019-2692 போன்ற அதே பாதிப்பு, ஆனால் "தாக்குதல்கள் கூடுதல் தயாரிப்புகளை கணிசமாக பாதிக்கலாம்"

-
CVE-2017-15945
-
உயர்
பொய்யா
mysql-connector-java உடன் தொடர்புடையது அல்ல

-
CVE-2020-2933
-
குறைந்த
பொய்யா
CVE-2020-2934 இன் நகல்

CVE-2020-2934
CVE-2020-2934
-
நடுத்தர
உண்மை

வசந்த-வெளிப்பாடு:3.0.5
CVE-2018-1270
கூறு காணப்படவில்லை
-
உயர்
உண்மை

CVE-2018-1257
-
-
நடுத்தர
உண்மை

வசந்த-வலை:3.0.5
CVE-2016-1000027
கூறு காணப்படவில்லை
-
உயர்
உண்மை

CVE-2014-0225
-
CVE-2014-0225
உயர்
உண்மை

CVE-2011-2730
-
-
உயர்
உண்மை

-
-
CVE-2013-4152
நடுத்தர
உண்மை

CVE-2018-1272
-
-
உயர்
உண்மை

CVE-2020-5398
-
-
உயர்
உண்மை
IQ க்கு ஆதரவாக ஒரு விளக்கமான உதாரணம்: "சோனாடைப் பாதுகாப்பு ஆராய்ச்சி குழு, இந்த பாதிப்பு பதிப்பு 3.0.2.ரிலீஸில் அறிமுகப்படுத்தப்பட்டது மற்றும் ஆலோசனையில் கூறப்பட்டுள்ளபடி 5.0.x இல் இல்லை என்பதைக் கண்டறிந்தது."

CVE-2013-6429
-
-
நடுத்தர
உண்மை

CVE-2014-0054
-
CVE-2014-0054
நடுத்தர
உண்மை

CVE-2013-6430
-
-
நடுத்தர
உண்மை

வசந்த-சூழல்:3.0.5
CVE-2011-2894
கூறு காணப்படவில்லை
-
நடுத்தர
உண்மை

ஸ்பிரிங்-கோர்:3.0.5
-
CVE-2011-2730
CVE-2011-2730
உயர்
உண்மை

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
நடுத்தர
உண்மை

-
-
CVE-2013-4152
நடுத்தர
பொய்யா
ஸ்பிரிங்-வலையில் அதே பாதிப்பின் நகல்

-
CVE-2013-4152
-
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வலை கூறு தொடர்பானது

-
CVE-2013-6429
CVE-2013-6429
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வலை கூறு தொடர்பானது

-
CVE-2013-6430
-
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வலை கூறு தொடர்பானது

-
CVE-2013-7315
CVE-2013-7315
நடுத்தர
பொய்யா
CVE-2013-4152 இலிருந்து SPLIT. + பாதிப்பு ஸ்பிரிங்-வலை கூறுகளுடன் தொடர்புடையது

-
CVE-2014-0054
CVE-2014-0054
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வலை கூறு தொடர்பானது

-
CVE-2014-0225
-
உயர்
பொய்யா
பாதிப்பு ஸ்பிரிங்-வலை கூறு தொடர்பானது

-
-
CVE-2014-0225
உயர்
பொய்யா
ஸ்பிரிங்-வலையில் அதே பாதிப்பின் நகல்

-
CVE-2014-1904
CVE-2014-1904
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வெப்-எம்விசி கூறுகளுடன் தொடர்புடையது

-
CVE-2014-3625
CVE-2014-3625
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வெப்-எம்விசி கூறுகளுடன் தொடர்புடையது

-
CVE-2016-9878
CVE-2016-9878
உயர்
பொய்யா
பாதிப்பு ஸ்பிரிங்-வெப்-எம்விசி கூறுகளுடன் தொடர்புடையது

-
CVE-2018-1270
CVE-2018-1270
உயர்
பொய்யா
வசந்த-வெளிப்பாடு/வசந்த-செய்திகளுக்கு

-
CVE-2018-1271
CVE-2018-1271
நடுத்தர
பொய்யா
பாதிப்பு ஸ்பிரிங்-வெப்-எம்விசி கூறுகளுடன் தொடர்புடையது

-
CVE-2018-1272
CVE-2018-1272
உயர்
உண்மை

CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
நடுத்தர
உண்மை

SONATYPE-2015-0327
-
-
குறைந்த
உண்மை

struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
நடுத்தர
உண்மை

வசந்த-tx:3.0.5
-
CVE-2011-2730
-
உயர்
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2011-2894
-
உயர்
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2013-4152
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2013-6429
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2013-6430
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2013-7315
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2014-0054
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2014-0225
-
உயர்
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2014-1904
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2014-3625
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2016-9878
-
உயர்
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2018-1270
-
உயர்
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2018-1271
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

-
CVE-2018-1272
-
நடுத்தர
பொய்யா
பாதிப்பு என்பது ஸ்பிரிங்-டிஎக்ஸ்க்கு குறிப்பிட்டதல்ல

ஸ்ட்ரட்ஸ்-கோர்:1.3.8
-
CVE-2011-5057 (OSSINDEX)

நடுத்தர
FASLE
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

CVE-2016-1182
3VE-2016-1182
-
உயர்
உண்மை

-
-
CVE-2011-5057
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

CVE-2015-0899
CVE-2015-0899
-
உயர்
உண்மை

-
CVE-2012-0394
CVE-2012-0394
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
உயர்
FASLE
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2013-2115
CVE-2013-2115
உயர்
FASLE
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
உயர்
FASLE
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
உயர்
FASLE
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

CVE-2014-0114
CVE-2014-0114
-
உயர்
உண்மை

-
CVE-2015-2992
CVE-2015-2992
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

CVE-2016-1181
CVE-2016-1181
-
உயர்
உண்மை

-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
உயர்
பொய்யா
ஸ்ட்ரட்ஸுக்கு பாதிப்பு 2

xwork-core:2.3.30
CVE-2017-9804
-
-
உயர்
உண்மை

SONATYPE-2017-0173
-
-
உயர்
உண்மை

CVE-2017-7672
-
-
உயர்
பொய்யா
CVE-2017-9804 இன் நகல்

SONATYPE-2016-0127
-
-
உயர்
உண்மை

ஸ்ட்ரட்ஸ்2-கோர்:2.3.30
-
CVE-2016-6795
CVE-2016-6795
உயர்
உண்மை

-
CVE-2017-9787
CVE-2017-9787
உயர்
உண்மை

-
CVE-2017-9791
CVE-2017-9791
உயர்
உண்மை

-
CVE-2017-9793
-
உயர்
பொய்யா
CVE-2018-1327 இன் நகல்

-
CVE-2017-9804
-
உயர்
உண்மை

-
CVE-2017-9805
CVE-2017-9805
உயர்
உண்மை

CVE-2016-4003
-
-
நடுத்தர
பொய்யா
Apache Struts 2.x க்கு 2.3.28 வரை பொருந்தும், இது பதிப்பு 2.3.30 ஆகும். இருப்பினும், விளக்கத்தின் அடிப்படையில், JRE 2 அல்லது அதற்கும் குறைவாகப் பயன்படுத்தப்பட்டால், ஸ்ட்ரட்ஸ் 1.7 இன் எந்தப் பதிப்பிற்கும் CVE செல்லுபடியாகும். வெளிப்படையாக அவர்கள் எங்களுக்கு இங்கே மறுகாப்பீடு செய்ய முடிவு செய்தனர், ஆனால் அது தவறானது போல் தெரிகிறது

-
CVE-2018-1327
CVE-2018-1327
உயர்
உண்மை

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
உயர்
உண்மை
2017 இல் Equifax ஹேக்கர்கள் பயன்படுத்திய அதே பாதிப்பு

CVE-2017-12611
CVE-2017-12611
-
உயர்
உண்மை

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
உயர்
உண்மை

struts-taglib:1.3.8
-
CVE-2012-0394
-
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸ்2-கோருக்கு

-
CVE-2013-2115
-
உயர்
பொய்யா
ஸ்ட்ரட்ஸ்2-கோருக்கு

-
CVE-2014-0114
-
உயர்
பொய்யா
காமன்ஸ்-பீனுட்டில்ஸ்

-
CVE-2015-0899
-
உயர்
பொய்யா
taglib க்கு பொருந்தாது

-
CVE-2015-2992
-
நடுத்தர
பொய்யா
struts2-core ஐக் குறிக்கிறது

-
CVE-2016-1181
-
உயர்
பொய்யா
taglib க்கு பொருந்தாது

-
CVE-2016-1182
-
உயர்
பொய்யா
taglib க்கு பொருந்தாது

ஸ்ட்ரட்ஸ்-டைல்ஸ்-1.3.8
-
CVE-2012-0394
-
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸ்2-கோருக்கு

-
CVE-2013-2115
-
உயர்
பொய்யா
ஸ்ட்ரட்ஸ்2-கோருக்கு

-
CVE-2014-0114
-
உயர்
பொய்யா
காமன்ஸ்-பீனுட்டில்ஸ் கீழ்

-
CVE-2015-0899
-
உயர்
பொய்யா
ஓடுகளுக்கு பொருந்தாது

-
CVE-2015-2992
-
நடுத்தர
பொய்யா
ஸ்ட்ரட்ஸ்2-கோருக்கு

-
CVE-2016-1181
-
உயர்
பொய்யா
taglib க்கு பொருந்தாது

-
CVE-2016-1182
-
உயர்
பொய்யா
taglib க்கு பொருந்தாது

ஆதாரம்: www.habr.com

கருத்தைச் சேர்