ఓపెన్ సోర్స్ లైబ్రరీల దుర్బలత్వాలపై వార్షిక నివేదికల విడుదలతో అభివృద్ధి ప్రక్రియలో థర్డ్-పార్టీ సాఫ్ట్వేర్ భాగాల (సాఫ్ట్వేర్ కంపోజిషన్ అనాలిసిస్ - SCA) విశ్లేషణ యొక్క ప్రాముఖ్యత పెరుగుతోంది, వీటిని Synopsys, Sonatype, Snyk మరియు వైట్ సోర్స్ ప్రచురించాయి. . నివేదిక ప్రకారం
అత్యంత వివరణాత్మక కేసుల్లో ఒకటి
విశ్లేషణ ఫలితాల నాణ్యత కోణం నుండి SCA నిర్వహించడం కోసం ఒక సాధనాన్ని ఎంచుకునే సమస్యను ఈ వ్యాసం చర్చిస్తుంది. సాధనాల యొక్క క్రియాత్మక పోలిక కూడా అందించబడుతుంది. CI/CD మరియు ఇంటిగ్రేషన్ సామర్థ్యాలకు అనుసంధానించే ప్రక్రియ తదుపరి ప్రచురణల కోసం వదిలివేయబడుతుంది. OWASP ద్వారా విస్తృత శ్రేణి సాధనాలు అందించబడ్డాయి
ఇది ఎలా పనిచేస్తుంది
CPE ఎలా ఉంటుందో చూద్దాం:
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other
- పార్ట్: కాంపోనెంట్ అప్లికేషన్ (a), ఆపరేటింగ్ సిస్టమ్ (o), హార్డ్వేర్ (h) (అవసరం)కి సంబంధించినదని సూచన
- Vendor: ఉత్పత్తి తయారీదారు పేరు (అవసరం)
- ఉత్పత్తి: ఉత్పత్తి పేరు (అవసరం)
- వెర్షన్: కాంపోనెంట్ వెర్షన్ (నిరుపయోగమైన అంశం)
- నవీకరణ: ప్యాకేజీ నవీకరణ
- ఎడిషన్: లెగసీ వెర్షన్ (విస్మరించబడిన అంశం)
- భాష: RFC-5646లో భాష నిర్వచించబడింది
- SW ఎడిషన్: సాఫ్ట్వేర్ వెర్షన్
- లక్ష్యం SW: ఉత్పత్తి పనిచేసే సాఫ్ట్వేర్ వాతావరణం
- లక్ష్యం HW: ఉత్పత్తి పనిచేసే హార్డ్వేర్ వాతావరణం
- ఇతర: సరఫరాదారు లేదా ఉత్పత్తి సమాచారం
ఒక ఉదాహరణ CPE ఇలా కనిపిస్తుంది:
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
లైన్ అంటే CPE వెర్షన్ 2.3 తయారీదారు నుండి అప్లికేషన్ కాంపోనెంట్ను వివరిస్తుంది pivotal_software
పేరుతో spring_framework
వెర్షన్ 3.0.0. మేము ఒక దుర్బలత్వాన్ని తెరిస్తే
URL SCA సాధనాల ద్వారా కూడా ఉపయోగించబడుతుంది. ప్యాకేజీ URL ఆకృతి క్రింది విధంగా ఉంది:
scheme:type/namespace/name@version?qualifiers#subpath
- పథకం: ఇది ప్యాకేజీ URL అని సూచించే 'pkg' ఎల్లప్పుడూ ఉంటుంది (అవసరం)
- రకం: మావెన్, npm, nuget, gem, pypi మొదలైన ప్యాకేజీ యొక్క "రకం" లేదా ప్యాకేజీ యొక్క "ప్రోటోకాల్". (అవసరమైన వస్తువు)
- నేమ్స్పేస్: Maven సమూహం ID, డాకర్ చిత్రం యజమాని, GitHub వినియోగదారు లేదా సంస్థ వంటి కొన్ని పేరు ఉపసర్గ. ఐచ్ఛికం మరియు రకాన్ని బట్టి ఉంటుంది.
- పేరు: ప్యాకేజీ పేరు (అవసరం)
- వెర్షన్: ప్యాకేజీ వెర్షన్
- అర్హతలు: OS, ఆర్కిటెక్చర్, డిస్ట్రిబ్యూషన్ మొదలైన ప్యాకేజీకి సంబంధించిన అదనపు అర్హత డేటా. ఐచ్ఛికం మరియు రకం-నిర్దిష్ట.
- ఉపమార్గం: ప్యాకేజీ రూట్కు సంబంధించి ప్యాకేజీలోని అదనపు మార్గం
ఉదాహరణకు:
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]
XML ఆకృతిలో BOM ఎలా ఉంటుందో దానికి ఉదాహరణ:
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>
BOMని డిపెండెన్సీ ట్రాక్ కోసం ఇన్పుట్ పారామీటర్లుగా మాత్రమే కాకుండా, సరఫరా గొలుసులోని సాఫ్ట్వేర్ భాగాలను ఇన్వెంటరీ చేయడానికి కూడా ఉపయోగించవచ్చు, ఉదాహరణకు, కస్టమర్కు సాఫ్ట్వేర్ అందించడం కోసం. 2014లో, యునైటెడ్ స్టేట్స్లో కూడా ఒక చట్టం ప్రతిపాదించబడింది
SCAకి తిరిగి రావడం, డిపెండెన్సీ ట్రాక్లో స్లాక్ వంటి నోటిఫికేషన్ ప్లాట్ఫారమ్లు, కెన్నా సెక్యూరిటీ వంటి వల్నరబిలిటీ మేనేజ్మెంట్ సిస్టమ్లతో రెడీమేడ్ ఇంటిగ్రేషన్లు ఉన్నాయి. డిపెండెన్సీ ట్రాక్, ఇతర విషయాలతోపాటు, ప్యాకేజీల యొక్క పాత వెర్షన్లను గుర్తిస్తుంది మరియు లైసెన్స్ల గురించి సమాచారాన్ని అందిస్తుంది (SPDX మద్దతు కారణంగా).
మేము SCA నాణ్యత గురించి ప్రత్యేకంగా మాట్లాడినట్లయితే, అప్పుడు ప్రాథమిక వ్యత్యాసం ఉంది.
డిపెండెన్సీ ట్రాక్ ప్రాజెక్ట్ను ఇన్పుట్గా అంగీకరించదు, బదులుగా BOM. దీని అర్థం మనం ప్రాజెక్ట్ను పరీక్షించాలనుకుంటే, ముందుగా మనం bom.xmlని రూపొందించాలి, ఉదాహరణకు CycloneDXని ఉపయోగించడం. అందువలన, డిపెండెన్సీ ట్రాక్ నేరుగా CycloneDXపై ఆధారపడి ఉంటుంది. అదే సమయంలో, ఇది అనుకూలీకరణకు అనుమతిస్తుంది. ఇది OZON బృందం రాసింది
కొన్ని ఫంక్షనల్ ఫీచర్లను సంగ్రహించండి మరియు విశ్లేషణ కోసం మద్దతు ఉన్న భాషలను కూడా పరిశీలిద్దాం:
భాష
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్
జావా
+
+
+
C / C ++
+
+
-
C#
+
+
-
.Net
+
+
+
ఏర్లాంగ్
-
-
+
జావాస్క్రిప్ట్ (NodeJS)
+
+
+
PHP
+
+
+
పైథాన్
+
+
+
రూబీ
+
+
+
పెర్ల్
-
-
-
స్కాలా
+
+
+
ఆబ్జెక్టివ్ సి
+
+
-
స్విఫ్ట్
+
+
-
R
+
-
-
Go
+
+
+
కార్యాచరణ
కార్యాచరణ
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్
సోర్స్ కోడ్లో ఉపయోగించిన భాగాలు లైసెన్స్ పొందిన స్వచ్ఛత కోసం తనిఖీ చేయబడతాయని నిర్ధారించే సామర్థ్యం
+
-
+
డాకర్ చిత్రాల కోసం దుర్బలత్వం మరియు లైసెన్స్ శుభ్రత కోసం స్కాన్ మరియు విశ్లేషించే సామర్థ్యం
+ క్లెయిర్తో ఏకీకరణ
-
-
ఓపెన్ సోర్స్ లైబ్రరీలను ఉపయోగించడానికి భద్రతా విధానాలను కాన్ఫిగర్ చేయగల సామర్థ్యం
+
-
-
హాని కలిగించే భాగాల కోసం ఓపెన్ సోర్స్ రిపోజిటరీలను స్కాన్ చేయగల సామర్థ్యం
+ రూబీజెమ్స్, మావెన్, NPM, నుగెట్, పైపీ, కోనన్, బోవర్, కొండా, గో, p2, R, యమ్, హెల్మ్, డాకర్, కోకోపాడ్స్, Git LFS
-
+ హెక్స్, రూబీజెమ్స్, మావెన్, NPM, నుగెట్, పైపీ
ప్రత్యేక పరిశోధన సమూహం యొక్క లభ్యత
+
-
-
క్లోజ్డ్ లూప్ ఆపరేషన్
+
+
+
మూడవ పార్టీ డేటాబేస్లను ఉపయోగించడం
+ క్లోజ్డ్ సోనాటైప్ డేటాబేస్
+ సోనాటైప్ OSS, NPM పబ్లిక్ అడ్వైజర్స్
+ సోనాటైప్ OSS, NPM పబ్లిక్ అడ్వైజర్స్, RetireJS, VulnDB, దాని స్వంత దుర్బలత్వ డేటాబేస్కు మద్దతు
కాన్ఫిగర్ చేసిన విధానాల ప్రకారం డెవలప్మెంట్ లూప్లోకి లోడ్ చేయడానికి ప్రయత్నిస్తున్నప్పుడు ఓపెన్ సోర్స్ భాగాలను ఫిల్టర్ చేయగల సామర్థ్యం
+
-
-
బలహీనతలను పరిష్కరించడానికి సిఫార్సులు, పరిష్కారాలకు లింక్ల లభ్యత
+
+- (పబ్లిక్ డేటాబేస్లలోని వివరణపై ఆధారపడి ఉంటుంది)
+- (పబ్లిక్ డేటాబేస్లలోని వివరణపై ఆధారపడి ఉంటుంది)
తీవ్రత ద్వారా గుర్తించబడిన దుర్బలత్వాల ర్యాంకింగ్
+
+
+
పాత్ర-ఆధారిత యాక్సెస్ మోడల్
+
-
+
CLI మద్దతు
+
+
+- (CycloneDX కోసం మాత్రమే)
నిర్వచించిన ప్రమాణాల ప్రకారం దుర్బలత్వాల నమూనా/క్రమబద్ధీకరణ
+
-
+
అప్లికేషన్ స్థితి ద్వారా డాష్బోర్డ్
+
-
+
PDF ఆకృతిలో నివేదికలను రూపొందిస్తోంది
+
-
-
JSONCSV ఆకృతిలో నివేదికలను రూపొందిస్తోంది
+
+
-
రష్యన్ భాష మద్దతు
-
-
-
ఇంటిగ్రేషన్ సామర్థ్యాలు
అనుసంధానం
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్
LDAP/యాక్టివ్ డైరెక్టరీ ఇంటిగ్రేషన్
+
-
+
నిరంతర ఏకీకరణ వ్యవస్థ వెదురుతో ఏకీకరణ
+
-
-
నిరంతర ఇంటిగ్రేషన్ సిస్టమ్ టీమ్సిటీతో ఏకీకరణ
+
-
-
నిరంతర ఇంటిగ్రేషన్ సిస్టమ్ GitLabతో ఏకీకరణ
+
+- (GitLab కోసం ప్లగిన్గా)
+
నిరంతర ఇంటిగ్రేషన్ సిస్టమ్ జెంకిన్స్తో ఏకీకరణ
+
+
+
IDE కోసం ప్లగిన్ల లభ్యత
+ IntelliJ, ఎక్లిప్స్, విజువల్ స్టూడియో
-
-
సాధనం యొక్క వెబ్ సేవల (API) ద్వారా అనుకూల ఏకీకరణకు మద్దతు
+
-
+
డిపెండెన్సీ చెక్
మొదటి ప్రారంభం
ఉద్దేశపూర్వకంగా హాని కలిగించే అప్లికేషన్పై డిపెండెన్సీ చెక్ని అమలు చేద్దాం
దీని కోసం మేము ఉపయోగిస్తాము
mvn org.owasp:dependency-check-maven:check
ఫలితంగా, డిపెండెన్సీ-చెక్-రిపోర్ట్.html లక్ష్య డైరెక్టరీలో కనిపిస్తుంది.
ఫైల్ని ఓపెన్ చేద్దాం. మొత్తం దుర్బలత్వాల సంఖ్య గురించి సారాంశ సమాచారం తర్వాత, మేము ప్యాకేజీ, CPE మరియు CVEల సంఖ్యను సూచిస్తూ, అధిక స్థాయి తీవ్రత మరియు విశ్వాసంతో దుర్బలత్వాల గురించిన సమాచారాన్ని చూడవచ్చు.
తదుపరి మరింత వివరణాత్మక సమాచారం వస్తుంది, ప్రత్యేకించి నిర్ణయం తీసుకున్న ఆధారం (సాక్ష్యం), అంటే ఒక నిర్దిష్ట BOM.
తర్వాత CPE, PURL మరియు CVE వివరణ వస్తుంది. మార్గం ద్వారా, NVD డేటాబేస్లో లేకపోవడం వల్ల దిద్దుబాటు కోసం సిఫార్సులు చేర్చబడలేదు.
స్కాన్ ఫలితాలను క్రమపద్ధతిలో వీక్షించడానికి, మీరు కనిష్ట సెట్టింగ్లతో Nginxని కాన్ఫిగర్ చేయవచ్చు లేదా ఫలిత లోపాలను డిపెండెన్సీ చెక్కు కనెక్టర్లకు మద్దతిచ్చే లోపం నిర్వహణ సిస్టమ్కు పంపవచ్చు. ఉదాహరణకు, లోపం డోజో.
డిపెండెన్సీ ట్రాక్
సెట్టింగ్
డిపెండెన్సీ ట్రాక్ అనేది డిస్ప్లే గ్రాఫ్లతో కూడిన వెబ్ ఆధారిత ప్లాట్ఫారమ్, కాబట్టి థర్డ్-పార్టీ సొల్యూషన్లో లోపాలను నిల్వ చేసే సమస్య ఇక్కడ తలెత్తదు.
ఇన్స్టాలేషన్కు మద్దతు ఇచ్చే స్క్రిప్ట్లు: డాకర్, వార్, ఎక్జిక్యూటబుల్ వార్.
మొదటి ప్రారంభం
మేము నడుస్తున్న సేవ యొక్క URLకి వెళ్తాము. మేము అడ్మిన్/అడ్మిన్ ద్వారా లాగిన్ చేసి, లాగిన్ మరియు పాస్వర్డ్ను మార్చండి, ఆపై డాష్బోర్డ్కి వెళ్తాము. జావాలో టెస్ట్ అప్లికేషన్ కోసం ప్రాజెక్ట్ను సృష్టించడం మేము చేయబోయే తదుపరి పని ఇల్లు/ప్రాజెక్ట్లు → ప్రాజెక్ట్ని సృష్టించండి . DVJA ని ఉదాహరణగా తీసుకుందాం.
డిపెండెన్సీ ట్రాక్ BOMని ఇన్పుట్గా మాత్రమే ఆమోదించగలదు కాబట్టి, ఈ BOMని తప్పనిసరిగా తిరిగి పొందాలి. సద్వినియోగం చేసుకుందాం
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom
మేము bom.xmlని పొందుతాము మరియు సృష్టించిన ప్రాజెక్ట్లో ఫైల్ను లోడ్ చేస్తాము DVJA → డిపెండెన్సీలు → అప్లోడ్ BOM.
అడ్మినిస్ట్రేషన్ → ఎనలైజర్లకు వెళ్దాం. మేము NVDని కలిగి ఉన్న అంతర్గత ఎనలైజర్ మాత్రమే ప్రారంభించబడ్డామని మేము అర్థం చేసుకున్నాము. సోనాటైప్ OSS సూచికను కూడా కనెక్ట్ చేద్దాం.
కాబట్టి, మేము మా ప్రాజెక్ట్ కోసం క్రింది చిత్రాన్ని పొందుతాము:
జాబితాలో కూడా మీరు Sonatype OSSకి వర్తించే ఒక దుర్బలత్వాన్ని కనుగొనవచ్చు:
డిపెండెన్సీ ట్రాక్ ఇకపై డిపెండెన్సీ చెక్ xml రిపోర్టులను అంగీకరించకపోవడం ప్రధాన నిరాశ. డిపెండెన్సీ చెక్ ఇంటిగ్రేషన్ యొక్క తాజా మద్దతు వెర్షన్లు 1.0.0 - 4.0.2, నేను 5.3.2ని పరీక్షించాను.
ఇక్కడ
Nexus IQ
మొదటి ప్రారంభం
Nexus IQ యొక్క ఇన్స్టాలేషన్ ఆర్కైవ్ల నుండి వచ్చింది
కన్సోల్లోకి లాగిన్ అయిన తర్వాత, మీరు ఒక సంస్థ మరియు అప్లికేషన్ను సృష్టించాలి.
మీరు చూడగలిగినట్లుగా, IQ విషయంలో సెటప్ కొంత క్లిష్టంగా ఉంటుంది, ఎందుకంటే మేము వివిధ "దశల" (దేవ్, బిల్డ్, స్టేజ్, రిలీజ్) కోసం వర్తించే విధానాలను కూడా సృష్టించాలి. ఉత్పత్తికి దగ్గరగా పైప్లైన్ గుండా వెళుతున్నప్పుడు హాని కలిగించే భాగాలను నిరోధించడానికి లేదా డెవలపర్లు డౌన్లోడ్ చేసినప్పుడు Nexus Repoలోకి ప్రవేశించిన వెంటనే వాటిని నిరోధించడానికి ఇది అవసరం.
ఓపెన్ సోర్స్ మరియు ఎంటర్ప్రైజ్ మధ్య వ్యత్యాసాన్ని అనుభూతి చెందడానికి, Nexus IQ ద్వారా అదే విధంగా స్కాన్ చేద్దాం dvja-test-and-compare
:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
IQ వెబ్ ఇంటర్ఫేస్లో రూపొందించబడిన నివేదికకు URLని అనుసరించండి:
ఇక్కడ మీరు వివిధ ప్రాముఖ్యత స్థాయిలను సూచించే అన్ని విధాన ఉల్లంఘనలను చూడవచ్చు (సమాచారం నుండి సెక్యూరిటీ క్రిటికల్ వరకు). కాంపోనెంట్ ప్రక్కన ఉన్న అక్షరం D అంటే ఆ భాగం డైరెక్ట్ డిపెండెన్సీ అని, మరియు కాంపోనెంట్ పక్కన ఉన్న T అక్షరం అంటే ఆ కాంపోనెంట్ ట్రాన్సిటివ్ డిపెండెన్సీ అని, అంటే ఇది ట్రాన్సిటివ్ అని అర్థం.
మార్గం ద్వారా, నివేదిక
మేము Nexus IQ విధాన ఉల్లంఘనలలో ఒకదాన్ని తెరిస్తే, మేము కాంపోనెంట్ యొక్క వివరణను అలాగే టైమ్ గ్రాఫ్లో ప్రస్తుత వెర్షన్ యొక్క స్థానాన్ని చూపే వెర్షన్ గ్రాఫ్ను చూడవచ్చు, అలాగే ఏ సమయంలో దుర్బలత్వం ఆగిపోతుంది దుర్బలంగా ఉంటుంది. గ్రాఫ్లోని కొవ్వొత్తుల ఎత్తు ఈ భాగాన్ని ఉపయోగించడం యొక్క ప్రజాదరణను చూపుతుంది.
మీరు దుర్బలత్వాల విభాగానికి వెళ్లి CVEని విస్తరింపజేసినట్లయితే, మీరు ఈ దుర్బలత్వం, తొలగింపు కోసం సిఫార్సులు, అలాగే ఈ భాగం ఎందుకు ఉల్లంఘించబడిందనే దాని గురించిన వివరణను చదవవచ్చు, అంటే తరగతి ఉనికి DiskFileitem.class
.
js భాగాలను తీసివేసి, థర్డ్-పార్టీ జావా కాంపోనెంట్లకు సంబంధించిన వాటిని మాత్రమే సంగ్రహిద్దాం. కుండలీకరణాల్లో మేము NVD వెలుపల కనుగొనబడిన దుర్బలత్వాల సంఖ్యను సూచిస్తాము.
మొత్తం Nexus IQ:
- స్కాన్ చేసిన డిపెండెన్సీలు: 62
- హాని కలిగించే డిపెండెన్సీలు: 16
- దుర్బలత్వాలు కనుగొనబడ్డాయి: 42 (8 సోనాటైప్ db)
మొత్తం డిపెండెన్సీ చెక్:
- స్కాన్ చేసిన డిపెండెన్సీలు: 47
- హాని కలిగించే డిపెండెన్సీలు: 13
- దుర్బలత్వాలు కనుగొనబడ్డాయి: 91 (14 సోనాటైప్ oss)
మొత్తం డిపెండెన్సీ ట్రాక్:
- స్కాన్ చేసిన డిపెండెన్సీలు: 59
- హాని కలిగించే డిపెండెన్సీలు: 10
- దుర్బలత్వాలు కనుగొనబడ్డాయి: 51 (1 సోనాటైప్ oss)
తదుపరి దశలలో, మేము పొందిన ఫలితాలను విశ్లేషిస్తాము మరియు ఈ దుర్బలత్వాలలో ఏది నిజమైన లోపం మరియు ఏది తప్పుడు పాజిటివ్ అని గుర్తించాము.
నిరాకరణ
ఈ సమీక్ష కాదనలేని నిజం కాదు. ఇతరుల నేపథ్యానికి వ్యతిరేకంగా ప్రత్యేక పరికరాన్ని హైలైట్ చేయాలనే లక్ష్యం రచయితకు లేదు. సమీక్ష యొక్క ఉద్దేశ్యం SCA సాధనాల యొక్క ఆపరేషన్ యొక్క మెకానిజమ్స్ మరియు వాటి ఫలితాలను తనిఖీ చేసే మార్గాలను చూపడం.
ఫలితాల పోలిక
నిబంధనలు మరియు షరతులు:
థర్డ్-పార్టీ కాంపోనెంట్ దుర్బలత్వాలకు తప్పుడు పాజిటివ్:
- గుర్తించబడిన భాగానికి CVE సరిపోలలేదు
- ఉదాహరణకు, స్ట్రట్స్ 2 ఫ్రేమ్వర్క్లో దుర్బలత్వం గుర్తించబడి, మరియు సాధనం స్ట్రట్స్-టైల్స్ ఫ్రేమ్వర్క్లోని ఒక భాగాన్ని సూచించినట్లయితే, ఈ దుర్బలత్వం వర్తించదు, అప్పుడు ఇది తప్పుడు సానుకూలం
- కాంపోనెంట్ యొక్క గుర్తించబడిన సంస్కరణకు CVE సరిపోలలేదు
- ఉదాహరణకు, దుర్బలత్వం పైథాన్ వెర్షన్ > 3.5తో ముడిపడి ఉంది మరియు సాధనం వెర్షన్ 2.7ను హాని కలిగించేదిగా సూచిస్తుంది - ఇది తప్పుడు సానుకూలం, ఎందుకంటే నిజానికి ఈ దుర్బలత్వం 3.x ఉత్పత్తి శాఖకు మాత్రమే వర్తిస్తుంది.
- నకిలీ CVE
- ఉదాహరణకు, RCEని ప్రారంభించే CVEని SCA నిర్దేశిస్తే, ఆ RCE ద్వారా ప్రభావితమైన Cisco ఉత్పత్తులకు వర్తించే అదే భాగం కోసం SCA CVEని నిర్దేశిస్తుంది. ఈ సందర్భంలో అది తప్పుడు సానుకూలంగా ఉంటుంది.
- ఉదాహరణకు, స్ప్రింగ్-వెబ్ కాంపోనెంట్లో CVE కనుగొనబడింది, ఆ తర్వాత SCA అదే CVEని స్ప్రింగ్ ఫ్రేమ్వర్క్లోని ఇతర భాగాలలో సూచిస్తుంది, అయితే CVEకి ఇతర భాగాలతో సంబంధం లేదు. ఈ సందర్భంలో అది తప్పుడు సానుకూలంగా ఉంటుంది.
అధ్యయనం యొక్క లక్ష్యం ఓపెన్ సోర్స్ ప్రాజెక్ట్ DVJA. అధ్యయనంలో జావా భాగాలు మాత్రమే ఉన్నాయి (js లేకుండా).
సారాంశం ఫలితాలు
గుర్తించబడిన దుర్బలత్వాల యొక్క మాన్యువల్ సమీక్ష ఫలితాలకు నేరుగా వెళ్దాం. ప్రతి CVEకి సంబంధించిన పూర్తి నివేదికను అనుబంధంలో చూడవచ్చు.
అన్ని దుర్బలత్వాల కోసం సారాంశ ఫలితాలు:
పరామితి
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్
మొత్తం దుర్బలత్వాలు గుర్తించబడ్డాయి
42
91
51
తప్పుగా గుర్తించబడిన దుర్బలత్వాలు (తప్పుడు పాజిటివ్)
2 (4.76%)
62 (68,13%)
29 (56.86%)
సంబంధిత దుర్బలత్వాలు ఏవీ కనుగొనబడలేదు (తప్పుడు ప్రతికూలం)
10
20
27
భాగం వారీగా సారాంశ ఫలితాలు:
పరామితి
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్
మొత్తం భాగాలు గుర్తించబడ్డాయి
62
47
59
మొత్తం హాని కలిగించే భాగాలు
16
13
10
హాని కలిగించే భాగాలు తప్పుగా గుర్తించబడ్డాయి (తప్పుడు సానుకూలం)
1
5
0
హాని కలిగించే భాగాలు తప్పుగా గుర్తించబడ్డాయి (తప్పుడు సానుకూలం)
0
6
6
మొత్తం దుర్బలత్వాల సంఖ్యకు తప్పుడు సానుకూల మరియు తప్పుడు ప్రతికూల నిష్పత్తిని అంచనా వేయడానికి దృశ్య గ్రాఫ్లను రూపొందిద్దాం. భాగాలు క్షితిజ సమాంతరంగా గుర్తించబడతాయి మరియు వాటిలో గుర్తించబడిన దుర్బలత్వాలు నిలువుగా గుర్తించబడతాయి.
పోలిక కోసం, సోనాటైప్ బృందం OWASP డిపెండెన్సీ చెక్ని ఉపయోగించి 1531 భాగాల ప్రాజెక్ట్ను పరీక్షించడం ద్వారా ఇదే విధమైన అధ్యయనం నిర్వహించబడింది. మేము చూడగలిగినట్లుగా, సరైన ప్రతిస్పందనలకు శబ్దం యొక్క నిష్పత్తి మా ఫలితాలతో పోల్చవచ్చు.
మూలం:
ఈ ఫలితాలకు కారణాన్ని అర్థం చేసుకోవడానికి మా స్కాన్ ఫలితాల నుండి కొన్ని CVEలను చూద్దాం.
మరింత చదవండి
№1
Sonatype Nexus IQ గురించిన కొన్ని ఆసక్తికరమైన అంశాలను ముందుగా చూద్దాం.
Nexus IQ అనేక సార్లు స్ప్రింగ్ ఫ్రేమ్వర్క్లో RCEని నిర్వహించగల సామర్థ్యంతో డీరియలైజేషన్తో సమస్యను ఎత్తి చూపింది. వసంత-వెబ్లో CVE-2016-1000027:3.0.5 మొదటిసారి, మరియు CVE-2011-2894 వసంత-సందర్భంలో:3.0.5 మరియు స్ప్రింగ్-కోర్:3.0.5. మొదట, బహుళ CVEలలో దుర్బలత్వం యొక్క డూప్లికేషన్ ఉన్నట్లు కనిపిస్తుంది. ఎందుకంటే, మీరు NVD డేటాబేస్లో CVE-2016-1000027 మరియు CVE-2011-2894 చూస్తే, ప్రతిదీ స్పష్టంగా ఉన్నట్లు అనిపిస్తుంది.
భాగం
దుర్బలత్వం
వసంత-వెబ్:3.0.5
CVE-2016-1000027
వసంత-సందర్భం:3.0.5
CVE-2011-2894
స్ప్రింగ్-కోర్: 3.0.5
CVE-2011-2894
వివరణ
వివరణ
CVE-2011-2894 చాలా ప్రసిద్ధి చెందింది. నివేదికలో RemoteInvocationSerializingExporter
CVE-2011-2894లో, దుర్బలత్వం గమనించబడింది HttpInvokerServiceExporter
. Nexus IQ మాకు చెప్పేది ఇదే:
అయినప్పటికీ, NVDలో ఇలాంటివి ఏవీ లేవు, అందుకే డిపెండెన్సీ చెక్ మరియు డిపెండెన్సీ ట్రాక్ ప్రతి ఒక్కటి తప్పుడు ప్రతికూలతను పొందుతాయి.
CVE-2011-2894 యొక్క వివరణ నుండి కూడా దుర్బలత్వం వసంత-సందర్భం:3.0.5 మరియు స్ప్రింగ్-కోర్:3.0.5 రెండింటిలోనూ ఉందని అర్థం చేసుకోవచ్చు. దీని నిర్ధారణ ఈ దుర్బలత్వాన్ని కనుగొన్న వ్యక్తి నుండి ఒక కథనంలో కనుగొనవచ్చు.
№2
భాగం
దుర్బలత్వం
ఫలితంగా
స్ట్రట్స్2-కోర్:2.3.30
CVE-2016-4003
FALSE
మేము హాని CVE-2016-4003ని అధ్యయనం చేస్తే, అది వెర్షన్ 2.3.28లో పరిష్కరించబడిందని మేము అర్థం చేసుకుంటాము, అయినప్పటికీ, Nexus IQ దానిని మాకు నివేదిస్తుంది. దుర్బలత్వం యొక్క వివరణలో ఒక గమనిక ఉంది:
అంటే, JRE యొక్క పాత వెర్షన్తో కలిపి మాత్రమే దుర్బలత్వం ఉంది, దాని గురించి వారు మమ్మల్ని హెచ్చరించాలని నిర్ణయించుకున్నారు. ఏది ఏమైనప్పటికీ, మేము ఈ ఫాల్స్ పాజిటివ్గా పరిగణిస్తాము, అయితే చెత్త కాదు.
3
భాగం
దుర్బలత్వం
ఫలితంగా
xwork-core:2.3.30
CVE-2017-9804
TRUE
xwork-core:2.3.30
CVE-2017-7672
FALSE
CVE-2017-9804 మరియు CVE-2017-7672 యొక్క వివరణలను పరిశీలిస్తే, సమస్య ఏమిటో మనకు అర్థమవుతుంది. URLValidator class
, CVE-2017-9804తో CVE-2017-7672 నుండి వచ్చింది. రెండవ దుర్బలత్వం యొక్క ఉనికి దాని తీవ్రత అధిక స్థాయికి పెరిగింది అనే వాస్తవం కంటే ఇతర ఉపయోగకరమైన లోడ్ను కలిగి ఉండదు, కాబట్టి మేము దానిని అనవసరమైన శబ్దంగా పరిగణించవచ్చు.
మొత్తంమీద, Nexus IQకి ఇతర తప్పుడు పాజిటివ్లు ఏవీ కనుగొనబడలేదు.
№4
IQని ఇతర పరిష్కారాల నుండి వేరు చేసే అనేక అంశాలు ఉన్నాయి.
భాగం
దుర్బలత్వం
ఫలితంగా
వసంత-వెబ్:3.0.5
CVE-2020-5398
TRUE
NVDలోని CVE, ఇది 5.2కి ముందు 5.2.3.x, 5.1కి ముందు 5.1.13.x, మరియు 5.0కి ముందు 5.0.16.x వెర్షన్లకు మాత్రమే వర్తిస్తుంది, అయితే, Nexus IQలోని CVE వివరణను పరిశీలిస్తే. , అప్పుడు మేము ఈ క్రింది వాటిని చూస్తాము:
సలహా విచలనం నోటీసు: సోనాటైప్ భద్రతా పరిశోధన బృందం ఈ దుర్బలత్వం వెర్షన్ 3.0.2.రిలీజ్లో ప్రవేశపెట్టబడిందని మరియు అడ్వైజరీలో పేర్కొన్న విధంగా 5.0.x కాదు అని కనుగొంది.
దీని తర్వాత ఈ దుర్బలత్వం కోసం PoC ఉంటుంది, ఇది వెర్షన్ 3.0.5లో ఉందని పేర్కొంది.
తప్పుడు ప్రతికూలత డిపెండెన్సీ చెక్ మరియు డిపెండెన్సీ ట్రాక్కి పంపబడుతుంది.
№5
డిపెండెన్సీ చెక్ మరియు డిపెండెన్సీ ట్రాక్ కోసం తప్పుడు పాజిటివ్ని చూద్దాం.
డిపెండెన్సీ చెక్ అనేది NVDలోని మొత్తం ఫ్రేమ్వర్క్కు వర్తించే ఆ CVEలను ఈ CVEలు వర్తించని భాగాలకు ప్రతిబింబిస్తుంది. ఇది CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016, స్క్రూడ్ స్క్రూడ్ “1182”కి సంబంధించినది ” to struts-taglib:1.3.8 మరియు struts-tiles-1.3.8. ఈ భాగాలకు CVEలో వివరించిన వాటితో ఎటువంటి సంబంధం లేదు - అభ్యర్థన ప్రాసెసింగ్, పేజీ ధ్రువీకరణ మరియు మొదలైనవి. దీనికి కారణం ఈ CVEలు మరియు భాగాలు ఉమ్మడిగా ఉండేవి ఫ్రేమ్వర్క్ మాత్రమే, అందుకే డిపెండెన్సీ చెక్ దీనిని దుర్బలత్వంగా పరిగణించింది.
అదే పరిస్థితి స్ప్రింగ్-tx:3.0.5, మరియు స్ట్రట్స్-కోర్:1.3.8తో కూడా ఇదే పరిస్థితి. స్ట్రట్స్-కోర్ కోసం, డిపెండెన్సీ చెక్ మరియు డిపెండెన్సీ ట్రాక్లు చాలా దుర్బలత్వాలను కనుగొన్నాయి, ఇవి వాస్తవానికి ప్రత్యేక ఫ్రేమ్వర్క్ అయిన స్ట్రట్స్2-కోర్కి వర్తిస్తాయి. ఈ సందర్భంలో, Nexus IQ చిత్రాన్ని సరిగ్గా అర్థం చేసుకుంది మరియు అది జారీ చేసిన CVEలలో, స్ట్రట్స్-కోర్ జీవిత ముగింపుకు చేరుకుందని మరియు స్ట్రట్స్2-కోర్కు వెళ్లడం అవసరమని సూచించింది.
№6
కొన్ని పరిస్థితులలో, స్పష్టమైన డిపెండెన్సీ చెక్ మరియు డిపెండెన్సీ ట్రాక్ ఎర్రర్ను అర్థం చేసుకోవడం అన్యాయం. ముఖ్యంగా CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014 డీపెన్సీ చెక్, ఇది-0225d-3.0.5d ఆపాదించబడిన స్ప్రింగ్-కోర్:3.0.5 నిజానికి స్ప్రింగ్-వెబ్:XNUMXకి చెందినది. అదే సమయంలో, ఈ CVEలలో కొన్ని Nexus IQ ద్వారా కూడా కనుగొనబడ్డాయి, అయినప్పటికీ, IQ వాటిని మరొక భాగానికి సరిగ్గా గుర్తించింది. ఈ దుర్బలత్వాలు స్ప్రింగ్-కోర్లో కనుగొనబడనందున, అవి సూత్రప్రాయంగా ఫ్రేమ్వర్క్లో లేవని వాదించలేము మరియు ఓపెన్ సోర్స్ సాధనాలు ఈ దుర్బలత్వాలను సరిగ్గా ఎత్తి చూపాయి (అవి కొంచెం తప్పాయి).
కనుగొన్న
మనం చూడగలిగినట్లుగా, మాన్యువల్ రివ్యూ ద్వారా గుర్తించబడిన దుర్బలత్వాల విశ్వసనీయతను నిర్ణయించడం నిస్సందేహమైన ఫలితాలను ఇవ్వదు, అందుకే వివాదాస్పద సమస్యలు తలెత్తుతాయి. ఫలితాలు Nexus IQ పరిష్కారం అత్యల్ప తప్పుడు సానుకూల రేటు మరియు అత్యధిక ఖచ్చితత్వాన్ని కలిగి ఉంది.
అన్నింటిలో మొదటిది, సోనాటైప్ బృందం దాని డేటాబేస్లలో NVD నుండి ప్రతి CVE దుర్బలత్వానికి సంబంధించిన వివరణను విస్తరించింది, ఇది అదనపు పరిశోధనను నిర్వహించడం (ఉదాహరణకు, ఉదాహరణకు, క్లాస్ లేదా ఫంక్షన్కు సంబంధించిన నిర్దిష్ట వెర్షన్ భాగాలకు హానిని సూచిస్తుంది. , పాత సాఫ్ట్వేర్ సంస్కరణల్లో దుర్బలత్వాలను తనిఖీ చేయడం).
ఫలితాలపై ముఖ్యమైన ప్రభావం NVDలో చేర్చబడని దుర్బలత్వాల ద్వారా కూడా ప్లే చేయబడుతుంది, అయితే సోనాటైప్ డేటాబేస్లో SONATYPE గుర్తుతో ఉన్నాయి. నివేదిక ప్రకారం
ఫలితంగా, డిపెండెన్సీ చెక్ చాలా శబ్దాన్ని ఉత్పత్తి చేస్తుంది, కొన్ని హాని కలిగించే భాగాలను కోల్పోతుంది. డిపెండెన్సీ ట్రాక్ తక్కువ శబ్దాన్ని ఉత్పత్తి చేస్తుంది మరియు పెద్ద సంఖ్యలో భాగాలను గుర్తిస్తుంది, ఇది వెబ్ ఇంటర్ఫేస్లో కళ్ళకు హాని కలిగించదు.
అయినప్పటికీ, పరిపక్వమైన DevSecOps వైపు ఓపెన్ సోర్స్ మొదటి దశలుగా మారాలని అభ్యాసం చూపిస్తుంది. SCAను డెవలప్మెంట్లో ఏకీకృతం చేసేటప్పుడు మీరు ఆలోచించాల్సిన మొదటి విషయం ఏమిటంటే, మీ సంస్థలో ఆదర్శ ప్రక్రియలు ఎలా ఉండాలనే దాని గురించి మేనేజ్మెంట్ మరియు సంబంధిత విభాగాలతో కలిసి ఆలోచించడం. మీ సంస్థ కోసం, మొదట, డిపెండెన్సీ చెక్ లేదా డిపెండెన్సీ ట్రాక్ అన్ని వ్యాపార అవసరాలను కవర్ చేస్తుంది మరియు అభివృద్ధి చెందుతున్న అప్లికేషన్ల సంక్లిష్టత కారణంగా ఎంటర్ప్రైజ్ సొల్యూషన్లు తార్కిక కొనసాగింపుగా మారవచ్చు.
అనుబంధం A: కాంపోనెంట్ ఫలితాలు
సూచిక:
- కాంపోనెంట్లో అధిక-అధిక మరియు క్లిష్టమైన స్థాయి దుర్బలత్వాలు
- మధ్యస్థం — కాంపోనెంట్లో మీడియం క్రిటిలిటీ లెవెల్ యొక్క దుర్బలత్వాలు
- నిజం — నిజమైన సానుకూల సమస్య
- తప్పు - తప్పుడు సానుకూల సమస్య
భాగం
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్
ఫలితంగా
dom4j: 1.6.1
అధిక
అధిక
అధిక
TRUE
log4j-core: 2.3
అధిక
అధిక
అధిక
TRUE
log4j: 1.2.14
అధిక
అధిక
-
TRUE
సాధారణ సేకరణలు:3.1
అధిక
అధిక
అధిక
TRUE
commons-fileupload:1.3.2
అధిక
అధిక
అధిక
TRUE
commons-beanutils:1.7.0
అధిక
అధిక
అధిక
TRUE
commons-codec:1:10
మీడియం
-
-
TRUE
mysql-connector-java:5.1.42
అధిక
అధిక
అధిక
TRUE
వసంత-వ్యక్తీకరణ:3.0.5
అధిక
భాగం కనుగొనబడలేదు
TRUE
వసంత-వెబ్:3.0.5
అధిక
భాగం కనుగొనబడలేదు
అధిక
TRUE
వసంత-సందర్భం:3.0.5
మీడియం
భాగం కనుగొనబడలేదు
-
TRUE
స్ప్రింగ్-కోర్: 3.0.5
మీడియం
అధిక
అధిక
TRUE
struts2-config-browser-plugin:2.3.30
మీడియం
-
-
TRUE
వసంత-tx:3.0.5
-
అధిక
-
FALSE
స్ట్రట్స్-కోర్:1.3.8
అధిక
అధిక
అధిక
TRUE
xwork-core: 2.3.30
అధిక
-
-
TRUE
స్ట్రట్స్2-కోర్: 2.3.30
అధిక
అధిక
అధిక
TRUE
స్ట్రట్స్-ట్యాగ్లిబ్:1.3.8
-
అధిక
-
FALSE
స్ట్రట్స్-టైల్స్-1.3.8
-
అధిక
-
FALSE
అనుబంధం B: దుర్బలత్వ ఫలితాలు
సూచిక:
- కాంపోనెంట్లో అధిక-అధిక మరియు క్లిష్టమైన స్థాయి దుర్బలత్వాలు
- మధ్యస్థం — కాంపోనెంట్లో మీడియం క్రిటిలిటీ లెవెల్ యొక్క దుర్బలత్వాలు
- నిజం — నిజమైన సానుకూల సమస్య
- తప్పు - తప్పుడు సానుకూల సమస్య
భాగం
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్
తీవ్రత
ఫలితంగా
వ్యాఖ్యను
dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
అధిక
TRUE
CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
అధిక
TRUE
log4j-core: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
అధిక
TRUE
CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
తక్కువ
TRUE
log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
అధిక
TRUE
-
CVE-2020-9488
-
తక్కువ
TRUE
SONATYPE-2010-0053
-
-
అధిక
TRUE
సాధారణ సేకరణలు:3.1
-
CVE-2015-6420
CVE-2015-6420
అధిక
FALSE
నకిలీలు RCE(OSSINDEX)
-
CVE-2017-15708
CVE-2017-15708
అధిక
FALSE
నకిలీలు RCE(OSSINDEX)
SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
అధిక
TRUE
commons-fileupload:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
అధిక
TRUE
SONATYPE-2014-0173
-
-
మీడియం
TRUE
commons-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
అధిక
TRUE
-
CVE-2019-10086
CVE-2019-10086
అధిక
FALSE
దుర్బలత్వం 1.9.2+ వెర్షన్లకు మాత్రమే వర్తిస్తుంది
commons-codec:1:10
SONATYPE-2012-0050
-
-
మీడియం
TRUE
mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
అధిక
TRUE
CVE-2019-2692
CVE-2019-2692
-
మీడియం
TRUE
-
CVE-2020-2875
-
మీడియం
FALSE
CVE-2019-2692 వలె అదే దుర్బలత్వం, కానీ గమనికతో “దాడులు అదనపు ఉత్పత్తులను గణనీయంగా ప్రభావితం చేయవచ్చు”
-
CVE-2017-15945
-
అధిక
FALSE
mysql-connector-javaకి సంబంధించినది కాదు
-
CVE-2020-2933
-
తక్కువ
FALSE
CVE-2020-2934 యొక్క నకిలీ
CVE-2020-2934
CVE-2020-2934
-
మీడియం
TRUE
వసంత-వ్యక్తీకరణ:3.0.5
CVE-2018-1270
భాగం కనుగొనబడలేదు
-
అధిక
TRUE
CVE-2018-1257
-
-
మీడియం
TRUE
వసంత-వెబ్:3.0.5
CVE-2016-1000027
భాగం కనుగొనబడలేదు
-
అధిక
TRUE
CVE-2014-0225
-
CVE-2014-0225
అధిక
TRUE
CVE-2011-2730
-
-
అధిక
TRUE
-
-
CVE-2013-4152
మీడియం
TRUE
CVE-2018-1272
-
-
అధిక
TRUE
CVE-2020-5398
-
-
అధిక
TRUE
IQకి అనుకూలంగా ఒక సచిత్ర ఉదాహరణ: "సోనాటైప్ భద్రతా పరిశోధన బృందం ఈ దుర్బలత్వం వెర్షన్ 3.0.2.రిలీజ్లో ప్రవేశపెట్టబడిందని మరియు సలహాలో పేర్కొన్న విధంగా 5.0.x కాదు అని కనుగొంది."
CVE-2013-6429
-
-
మీడియం
TRUE
CVE-2014-0054
-
CVE-2014-0054
మీడియం
TRUE
CVE-2013-6430
-
-
మీడియం
TRUE
వసంత-సందర్భం:3.0.5
CVE-2011-2894
భాగం కనుగొనబడలేదు
-
మీడియం
TRUE
స్ప్రింగ్-కోర్: 3.0.5
-
CVE-2011-2730
CVE-2011-2730
అధిక
TRUE
CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
మీడియం
TRUE
-
-
CVE-2013-4152
మీడియం
FALSE
స్ప్రింగ్-వెబ్లో అదే దుర్బలత్వం యొక్క నకిలీ
-
CVE-2013-4152
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్కు సంబంధించినది
-
CVE-2013-6429
CVE-2013-6429
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్కు సంబంధించినది
-
CVE-2013-6430
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్కు సంబంధించినది
-
CVE-2013-7315
CVE-2013-7315
మీడియం
FALSE
CVE-2013-4152 నుండి స్ప్లిట్. + దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్కు సంబంధించినది
-
CVE-2014-0054
CVE-2014-0054
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్కు సంబంధించినది
-
CVE-2014-0225
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్కు సంబంధించినది
-
-
CVE-2014-0225
అధిక
FALSE
స్ప్రింగ్-వెబ్లో అదే దుర్బలత్వం యొక్క నకిలీ
-
CVE-2014-1904
CVE-2014-1904
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్-ఎంవిసి కాంపోనెంట్కు సంబంధించినది
-
CVE-2014-3625
CVE-2014-3625
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్-ఎంవిసి కాంపోనెంట్కు సంబంధించినది
-
CVE-2016-9878
CVE-2016-9878
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్-ఎంవిసి కాంపోనెంట్కు సంబంధించినది
-
CVE-2018-1270
CVE-2018-1270
అధిక
FALSE
వసంత-వ్యక్తీకరణ/వసంత-సందేశాల కోసం
-
CVE-2018-1271
CVE-2018-1271
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్-ఎంవిసి కాంపోనెంట్కు సంబంధించినది
-
CVE-2018-1272
CVE-2018-1272
అధిక
TRUE
CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
మీడియం
TRUE
SONATYPE-2015-0327
-
-
తక్కువ
TRUE
struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
మీడియం
TRUE
వసంత-tx:3.0.5
-
CVE-2011-2730
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2011-2894
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2013-4152
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2013-6429
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2013-6430
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2013-7315
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2014-0054
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2014-0225
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2014-1904
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2014-3625
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2016-9878
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2018-1270
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2018-1271
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
-
CVE-2018-1272
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు
స్ట్రట్స్-కోర్:1.3.8
-
CVE-2011-5057 (OSSINDEX)
మీడియం
FASLE
స్ట్రట్లకు హాని 2
-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
అధిక
FALSE
స్ట్రట్లకు హాని 2
-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
మీడియం
FALSE
స్ట్రట్లకు హాని 2
-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
అధిక
FALSE
స్ట్రట్లకు హాని 2
CVE-2016-1182
3VE-2016-1182
-
అధిక
TRUE
-
-
CVE-2011-5057
మీడియం
FALSE
స్ట్రట్లకు హాని 2
-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
అధిక
FALSE
స్ట్రట్లకు హాని 2
-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
మీడియం
FALSE
స్ట్రట్లకు హాని 2
CVE-2015-0899
CVE-2015-0899
-
అధిక
TRUE
-
CVE-2012-0394
CVE-2012-0394
మీడియం
FALSE
స్ట్రట్లకు హాని 2
-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
అధిక
FALSE
స్ట్రట్లకు హాని 2
-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
అధిక
FALSE
స్ట్రట్లకు హాని 2
-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
అధిక
FASLE
స్ట్రట్లకు హాని 2
-
CVE-2013-2115
CVE-2013-2115
అధిక
FASLE
స్ట్రట్లకు హాని 2
-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
అధిక
FASLE
స్ట్రట్లకు హాని 2
-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
అధిక
FASLE
స్ట్రట్లకు హాని 2
CVE-2014-0114
CVE-2014-0114
-
అధిక
TRUE
-
CVE-2015-2992
CVE-2015-2992
మీడియం
FALSE
స్ట్రట్లకు హాని 2
-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
అధిక
FALSE
స్ట్రట్లకు హాని 2
CVE-2016-1181
CVE-2016-1181
-
అధిక
TRUE
-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
అధిక
FALSE
స్ట్రట్లకు హాని 2
xwork-core:2.3.30
CVE-2017-9804
-
-
అధిక
TRUE
SONATYPE-2017-0173
-
-
అధిక
TRUE
CVE-2017-7672
-
-
అధిక
FALSE
CVE-2017-9804 యొక్క నకిలీ
SONATYPE-2016-0127
-
-
అధిక
TRUE
స్ట్రట్స్2-కోర్:2.3.30
-
CVE-2016-6795
CVE-2016-6795
అధిక
TRUE
-
CVE-2017-9787
CVE-2017-9787
అధిక
TRUE
-
CVE-2017-9791
CVE-2017-9791
అధిక
TRUE
-
CVE-2017-9793
-
అధిక
FALSE
CVE-2018-1327 యొక్క నకిలీ
-
CVE-2017-9804
-
అధిక
TRUE
-
CVE-2017-9805
CVE-2017-9805
అధిక
TRUE
CVE-2016-4003
-
-
మీడియం
FALSE
Apache Struts 2.xకి 2.3.28 వరకు వర్తిస్తుంది, ఇది వెర్షన్ 2.3.30. అయితే, వివరణ ఆధారంగా, JRE 2 లేదా అంతకంటే తక్కువ ఉపయోగించినట్లయితే, CVE స్ట్రట్స్ 1.7 యొక్క ఏదైనా సంస్కరణకు చెల్లుబాటు అవుతుంది. స్పష్టంగా వారు మాకు ఇక్కడ మళ్లీ బీమా చేయాలని నిర్ణయించుకున్నారు, కానీ అది తప్పుగా కనిపిస్తోంది
-
CVE-2018-1327
CVE-2018-1327
అధిక
TRUE
CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
అధిక
TRUE
2017లో Equifax హ్యాకర్లు ఉపయోగించుకున్న అదే దుర్బలత్వం
CVE-2017-12611
CVE-2017-12611
-
అధిక
TRUE
CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
అధిక
TRUE
స్ట్రట్స్-ట్యాగ్లిబ్:1.3.8
-
CVE-2012-0394
-
మీడియం
FALSE
స్ట్రట్స్2-కోర్ కోసం
-
CVE-2013-2115
-
అధిక
FALSE
స్ట్రట్స్2-కోర్ కోసం
-
CVE-2014-0114
-
అధిక
FALSE
కామన్స్-బీనటిల్స్ కోసం
-
CVE-2015-0899
-
అధిక
FALSE
ట్యాగ్లిబ్కి వర్తించదు
-
CVE-2015-2992
-
మీడియం
FALSE
స్ట్రట్స్2-కోర్ను సూచిస్తుంది
-
CVE-2016-1181
-
అధిక
FALSE
ట్యాగ్లిబ్కి వర్తించదు
-
CVE-2016-1182
-
అధిక
FALSE
ట్యాగ్లిబ్కి వర్తించదు
స్ట్రట్స్-టైల్స్-1.3.8
-
CVE-2012-0394
-
మీడియం
FALSE
స్ట్రట్స్2-కోర్ కోసం
-
CVE-2013-2115
-
అధిక
FALSE
స్ట్రట్స్2-కోర్ కోసం
-
CVE-2014-0114
-
అధిక
FALSE
కామన్స్-బీనటిల్స్ కింద
-
CVE-2015-0899
-
అధిక
FALSE
పలకలకు వర్తించదు
-
CVE-2015-2992
-
మీడియం
FALSE
స్ట్రట్స్2-కోర్ కోసం
-
CVE-2016-1181
-
అధిక
FALSE
ట్యాగ్లిబ్కి వర్తించదు
-
CVE-2016-1182
-
అధిక
FALSE
ట్యాగ్లిబ్కి వర్తించదు
మూలం: www.habr.com