Pataki ti itupalẹ ti awọn paati sọfitiwia ti ẹnikẹta (Onínọmbà Iṣọkan Software - SCA) ninu ilana idagbasoke n dagba pẹlu itusilẹ ti awọn ijabọ ọdọọdun lori awọn ailagbara ti awọn ile-ikawe orisun ṣiṣi, eyiti a tẹjade nipasẹ Synopsys, Sonatype, Snyk, ati Orisun White . Gege bi iroyin na
Ọkan ninu awọn julọ apejuwe igba
Nkan yii yoo jiroro lori ọran yiyan ohun elo fun ṣiṣe SCA lati oju wiwo ti didara awọn abajade itupalẹ. Ifiwewe iṣẹ-ṣiṣe ti awọn irinṣẹ yoo tun pese. Ilana ti iṣọpọ sinu CI / CD ati awọn agbara iṣọpọ yoo wa ni osi fun awọn atẹjade ti o tẹle. Awọn irinṣẹ lọpọlọpọ ti a gbekalẹ nipasẹ OWASP
Bi o ti ṣiṣẹ
Jẹ ki a wo kini CPE dabi:
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other
- Apá: Itọkasi pe paati ni ibatan si ohun elo (a), ẹrọ iṣẹ (o), hardware (h) (Ti beere)
- Olùtajà: Orukọ Olupese Ọja (Beere)
- ọja: Orukọ ọja (Ti a beere)
- version: Ẹya paati (Nkan ti koṣe)
- imudojuiwọn: Imudojuiwọn package
- Itọsọna: Ẹya Legacy (Nkan ti a ti parẹ)
- ede rẹ: Ede asọye ni RFC-5646
- SW Edition: Software version
- Àfojúsùn SW: Ayika sọfitiwia ninu eyiti ọja n ṣiṣẹ
- Àfojúsùn HW: Ayika ohun elo ninu eyiti ọja n ṣiṣẹ
- Miiran: Olupese tabi Alaye ọja
Apẹẹrẹ CPE dabi eyi:
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
Laini tumọ si pe ẹya CPE 2.3 ṣe apejuwe paati ohun elo lati ọdọ olupese pivotal_software
pẹlu akọle spring_framework
ẹya 3.0.0. Ti a ba ṣii a palara
URL naa jẹ lilo nipasẹ awọn irinṣẹ SCA. Ọna kika URL package jẹ bi atẹle:
scheme:type/namespace/name@version?qualifiers#subpath
- Ètò: ‘pkg’ yoo ma wa nigbagbogbo ti o nfihan pe eyi jẹ URL package kan (Beere)
- iru: "Iru" ti package tabi "ilana" ti package, gẹgẹbi maven, npm, nuget, gem, pypi, ati bẹbẹ lọ. (Nkan ti a beere)
- Orukọ aaye-aye: Diẹ ninu awọn ìpele orukọ, gẹgẹbi ID ẹgbẹ Maven kan, oniwun aworan Docker, olumulo GitHub, tabi agbari. Iyan ati da lori iru.
- Name: Orukọ idii (Ti a beere)
- version: Package version
- Awọn afiyẹyẹ: Afikun data afijẹẹri fun package, gẹgẹbi OS, faaji, pinpin, ati bẹbẹ lọ. Iyan ati iru-pato.
- Ala-ilẹ: Awọn ọna afikun ninu package ni ibatan si root package
Fun apere:
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]
Apeere ti kini BOM le dabi ni ọna kika XML:
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>
BOM le ṣee lo kii ṣe bi awọn aye igbewọle nikan fun Track Igbẹkẹle, ṣugbọn tun fun awọn ohun elo sọfitiwia akojo oja ninu pq ipese, fun apẹẹrẹ, fun ipese sọfitiwia si alabara kan. Ni 2014, ofin kan paapaa ni imọran ni Amẹrika
Pada si SCA, Orin Igbẹkẹle ni awọn iṣọpọ ti o ti ṣetan pẹlu Awọn iru ẹrọ Iwifunni bii Slack, awọn eto iṣakoso ailagbara bii Aabo Kenna. O tun tọ lati sọ pe Track Igbẹkẹle, laarin awọn ohun miiran, ṣe idanimọ awọn ẹya ti igba atijọ ti awọn idii ati pese alaye nipa awọn iwe-aṣẹ (nitori atilẹyin SPDX).
Ti a ba sọrọ ni pataki nipa didara SCA, lẹhinna iyatọ ipilẹ wa.
Igbẹkẹle Track ko gba iṣẹ akanṣe bi titẹ sii, ṣugbọn dipo BOM. Eyi tumọ si pe ti a ba fẹ ṣe idanwo iṣẹ naa, a nilo akọkọ lati ṣe ipilẹṣẹ bom.xml, fun apẹẹrẹ lilo CycloneDX. Nitorinaa, Orin Igbẹkẹle jẹ igbẹkẹle taara lori CycloneDX. Ni akoko kanna, o gba laaye fun isọdi. Eyi ni ohun ti egbe OZON kowe
Jẹ ki a ṣe akopọ diẹ ninu awọn ẹya iṣẹ, ati tun gbero awọn ede atilẹyin fun itupalẹ:
Ede
Nesusi IQ
Ṣayẹwo Igbẹkẹle
Igbẹkẹle Track
Java
+
+
+
C / C ++
+
+
-
C#
+
+
-
.Net
+
+
+
erlang
-
-
+
JavaScript (NodeJS)
+
+
+
PHP
+
+
+
Python
+
+
+
Ruby
+
+
+
Perl
-
-
-
Scala
+
+
+
Ohun C
+
+
-
Swift
+
+
-
R
+
-
-
Go
+
+
+
Iṣẹ-ṣiṣe
Iṣẹ-ṣiṣe
Nesusi IQ
Ṣayẹwo Igbẹkẹle
Igbẹkẹle Track
Agbara lati rii daju pe awọn paati ti a lo ninu koodu orisun ti ṣayẹwo fun mimọ ti iwe-aṣẹ
+
-
+
Agbara lati ọlọjẹ ati itupalẹ fun awọn ailagbara ati mimọ iwe-aṣẹ fun awọn aworan Docker
+ Integration pẹlu Clair
-
-
Agbara lati tunto awọn eto imulo aabo lati lo awọn ile-ikawe orisun ṣiṣi
+
-
-
Agbara lati ṣe ọlọjẹ awọn ibi ipamọ orisun ṣiṣi fun awọn paati ti o ni ipalara
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ Hex, RubyGems, Maven, NPM, Nuget, Pypi
Wiwa ti ẹgbẹ iwadii amọja
+
-
-
Pipade lupu isẹ
+
+
+
Lilo ẹnikẹta infomesonu
+ Sonatype database
+ Sonatype OSS, NPM Public Advisors
+ Sonatype OSS, Awọn onimọran Awujọ NPM, RetireJS, VulnDB, atilẹyin fun data data ailagbara tirẹ
Agbara lati ṣe àlẹmọ awọn paati orisun ṣiṣi nigbati o n gbiyanju lati fifuye sinu lupu idagbasoke ni ibamu si awọn eto imulo tunto
+
-
-
Awọn iṣeduro fun titunṣe awọn ailagbara, wiwa awọn ọna asopọ si awọn atunṣe
+
+ - (da lori apejuwe ni awọn apoti isura data ita gbangba)
+ - (da lori apejuwe ni awọn apoti isura data ita gbangba)
Idiyele awọn ailagbara ti a rii nipasẹ biburu
+
+
+
Ipa-orisun wiwọle awoṣe
+
-
+
CLI atilẹyin
+
+
+- (fun CycloneDX nikan)
Iṣapẹẹrẹ / lẹsẹsẹ awọn ailagbara gẹgẹbi awọn ilana ti a ti pinnu
+
-
+
Dasibodu nipasẹ ipo ohun elo
+
-
+
Ṣiṣẹda awọn ijabọ ni ọna kika PDF
+
-
-
Ṣiṣẹda awọn ijabọ ni ọna kika JSONCSV
+
+
-
Russian ede support
-
-
-
Awọn agbara Integration
Ijọpọ
Nesusi IQ
Ṣayẹwo Igbẹkẹle
Igbẹkẹle Track
LDAP/Active Directory Integration
+
-
+
Integration pẹlu lemọlemọfún Integration eto Bamboo
+
-
-
Integration pẹlu lemọlemọfún Integration eto TeamCity
+
-
-
Idarapọ pẹlu eto isọpọ lemọlemọfún GitLab
+
+ - (gẹgẹbi ohun itanna fun GitLab)
+
Integration pẹlu lemọlemọfún Integration eto Jenkins
+
+
+
Wiwa ti awọn afikun fun IDE
+ IntelliJ, Oṣupa, Studio wiwo
-
-
Atilẹyin fun isọpọ aṣa nipasẹ awọn iṣẹ wẹẹbu (API) ti ọpa
+
-
+
Ṣayẹwo Igbẹkẹle
Ibẹrẹ akọkọ
Jẹ ki a ṣiṣẹ Ṣayẹwo Igbẹkẹle lori ohun elo ti ko ni ipalara
Fun eyi a yoo lo
mvn org.owasp:dependency-check-maven:check
Bi abajade, dependency-check-report.html yoo han ninu itọsọna ibi-afẹde.
Jẹ ki a ṣii faili naa. Lẹhin alaye akojọpọ nipa nọmba lapapọ ti awọn ailagbara, a le rii alaye nipa awọn ailagbara pẹlu ipele giga ti Severity ati Igbẹkẹle, ti o nfihan package, CPE, ati nọmba awọn CVE.
Nigbamii ti o wa alaye alaye diẹ sii, ni pato ipilẹ ti a ṣe ipinnu (ẹri), eyini ni, BOM kan.
Nigbamii ti CPE, PURL ati apejuwe CVE wa. Nipa ọna, awọn iṣeduro fun atunṣe ko si nitori isansa wọn ni aaye data NVD.
Lati wo awọn abajade ọlọjẹ ni eto, o le tunto Nginx pẹlu awọn eto to kere, tabi firanṣẹ awọn abawọn abajade si eto iṣakoso abawọn ti o ṣe atilẹyin awọn asopọ si Ṣayẹwo Igbẹkẹle. Fun apẹẹrẹ, Defect Dojo.
Igbẹkẹle Track
eto
Orin Igbẹkẹle, ni ọna, jẹ pẹpẹ ti o da lori wẹẹbu pẹlu awọn aworan ifihan, nitorinaa ọran titẹ ti fifipamọ awọn abawọn ni ojutu ẹni-kẹta ko dide nibi.
Awọn iwe afọwọkọ ti o ni atilẹyin fun fifi sori jẹ: Docker, WAR, OGUN Iṣiṣẹ.
Ibẹrẹ akọkọ
A lọ si URL ti iṣẹ ṣiṣe. A wọle nipasẹ abojuto/abojuto, yi iwọle ati ọrọ igbaniwọle pada, lẹhinna gba si Dasibodu naa. Nigbamii ti ohun ti a yoo se ni a ṣẹda ise agbese kan fun igbeyewo ohun elo ni Java ni Ile/Awọn iṣẹ akanṣe → Ṣẹda Ise agbese . Jẹ ki a gba DVJA gẹgẹbi apẹẹrẹ.
Niwọn bi Track Igbẹkẹle le gba BOM nikan bi titẹ sii, BOM yii gbọdọ gba pada. Jẹ ki a gba anfani
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom
A gba bom.xml ati fifuye faili ni iṣẹ akanṣe ti a ṣẹda DVJA → Awọn igbẹkẹle → Ṣe igbasilẹ BOM.
Jẹ ki a lọ si Isakoso → Awọn atunnkanka. A loye pe a ti ṣiṣẹ Oluyanju Inu nikan, eyiti o pẹlu NVD. Jẹ ki a tun so Sonatype OSS Atọka.
Nitorinaa, a gba aworan atẹle fun iṣẹ akanṣe wa:
Paapaa ninu atokọ o le wa ailagbara kan ti o kan si Sonatype OSS:
Ibanujẹ akọkọ ni pe Track Igbẹkẹle ko gba awọn ijabọ Igbẹkẹle Ṣayẹwo xml mọ. Awọn ẹya tuntun ti o ni atilẹyin ti isọdọkan Ṣayẹwo Igbẹkẹle jẹ 1.0.0 - 4.0.2, lakoko ti Mo ṣe idanwo 5.3.2.
Nibi
Nesusi IQ
Ibẹrẹ akọkọ
Fifi sori ẹrọ ti Nesusi IQ wa lati awọn pamosi ti
Lẹhin wíwọlé sinu console, o nilo lati ṣẹda Ajo ati Ohun elo kan.
Bii o ti le rii, iṣeto ni ọran ti IQ jẹ idiju diẹ sii, nitori a tun nilo lati ṣẹda awọn eto imulo ti o wulo fun awọn “awọn ipele” oriṣiriṣi (dev, kọ, ipele, itusilẹ). Eyi jẹ pataki lati dènà awọn paati ipalara bi wọn ti nlọ nipasẹ opo gigun ti epo ti o sunmọ iṣelọpọ, tabi lati dina wọn ni kete ti wọn ba wọle si Nesusi Repo nigbati awọn olupilẹṣẹ ṣe igbasilẹ.
Lati lero iyatọ laarin orisun ṣiṣi ati ile-iṣẹ, jẹ ki a ṣe ọlọjẹ kanna nipasẹ Nesusi IQ ni ọna kanna nipasẹ dvja-test-and-compare
:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
Tẹle URL naa si ijabọ ti ipilẹṣẹ ni wiwo oju opo wẹẹbu IQ:
Nibi o le rii gbogbo awọn irufin eto imulo ti o nfihan awọn ipele pataki ti o yatọ (lati Alaye si Awujọ Aabo). Lẹta D lẹgbẹẹ paati tumọ si pe paati jẹ Igbẹkẹle Taara, ati lẹta T lẹgbẹẹ paati tumọ si pe paati naa jẹ Igbẹkẹle Transitive, iyẹn ni, o jẹ iyipada.
Nipa ọna, ijabọ naa
Ti a ba ṣii ọkan ninu awọn irufin eto imulo Nesusi IQ, a le rii ijuwe ti paati, bakanna bi Ẹya Ẹya kan, eyiti o fihan ipo ti ẹya lọwọlọwọ ni aworan akoko, ati ni akoko wo ni ailagbara naa da duro si jẹ ipalara. Giga ti awọn abẹla ti o wa lori aworan naa fihan olokiki ti lilo paati yii.
Ti o ba lọ si apakan awọn ailagbara ati faagun CVE, o le ka apejuwe kan ti ailagbara yii, awọn iṣeduro fun imukuro, ati idi idi ti paati yii ti ṣẹ, iyẹn ni, wiwa ti kilasi naa. DiskFileitem.class
.
Jẹ ki a ṣe akopọ awọn ti o ni ibatan si awọn paati Java ẹni-kẹta, yọ awọn paati js kuro. Ninu akomo a tọkasi nọmba awọn ailagbara ti a rii ni ita NVD.
Lapapọ IQ Nesusi:
- Ti ṣayẹwo awọn igbẹkẹle: 62
- Awọn igbẹkẹle ti o ni ipalara: 16
- Awọn ailagbara ti a rii: 42 (8 sonatype db)
Ṣayẹwo Igbẹkẹle Lapapọ:
- Ti ṣayẹwo awọn igbẹkẹle: 47
- Awọn igbẹkẹle ti o ni ipalara: 13
- Awọn ailagbara ti a rii: 91 (14 sonatype oss)
Apapọ Igbẹkẹle:
- Ti ṣayẹwo awọn igbẹkẹle: 59
- Awọn igbẹkẹle ti o ni ipalara: 10
- Awọn ailagbara ti a rii: 51 (1 sonatype oss)
Ni awọn igbesẹ ti o tẹle, a yoo ṣe itupalẹ awọn abajade ti o gba ati ṣe akiyesi eyi ti awọn ailagbara wọnyi jẹ abawọn gidi ati eyiti o jẹ idaniloju eke.
AlAIgBA
Atunwo yii kii ṣe otitọ ti a ko le ṣe ariyanjiyan. Onkọwe ko ni ibi-afẹde kan lati ṣe afihan ohun-elo ọtọtọ si abẹlẹ awọn miiran. Idi ti atunyẹwo naa ni lati ṣafihan awọn ọna ṣiṣe ti awọn irinṣẹ SCA ati awọn ọna lati ṣayẹwo awọn abajade wọn.
Lafiwe awọn esi
Словия:
Idaniloju eke fun awọn ailagbara paati ẹnikẹta ni:
- Ibamu CVE si paati idanimọ
- Fun apẹẹrẹ, ti a ba ṣe idanimọ ailagbara kan ninu ilana struts2, ati pe ọpa tọka si paati kan ti ilana struts-tiles, eyiti ailagbara yii ko kan, lẹhinna eyi jẹ idaniloju eke.
- Aṣiṣe CVE si ẹya ti a mọ ti paati
- Fun apẹẹrẹ, ailagbara naa ni a so si ẹya Python> 3.5 ati pe ohun elo ṣe ami ẹya 2.7 bi ipalara - eyi jẹ rere eke, nitori ni otitọ ailagbara kan nikan si ẹka ọja 3.x
- Àdáwòkọ CVE
- Fun apẹẹrẹ, ti SCA ba ṣalaye CVE kan ti o mu RCE kan ṣiṣẹ, lẹhinna SCA sọ asọye CVE kan fun paati kanna ti o kan awọn ọja Sisiko ti o kan RCE naa. Ninu apere yi o yoo jẹ eke rere.
- Fun apẹẹrẹ, CVE kan ni a rii ni paati orisun omi-ayelujara, lẹhinna SCA tọka si CVE kanna ni awọn ẹya miiran ti Ilana orisun omi, lakoko ti CVE ko ni nkankan lati ṣe pẹlu awọn paati miiran. Ninu apere yi o yoo jẹ eke rere.
Nkan ti iwadii naa jẹ iṣẹ akanṣe Orisun Open DVJA. Iwadi na kan awọn paati Java nikan (laisi js).
Awọn abajade akopọ
Jẹ ki a lọ taara si awọn abajade ti atunyẹwo afọwọṣe ti awọn ailagbara ti a mọ. Ijabọ ni kikun fun CVE kọọkan ni a le rii ni Afikun.
Awọn abajade akopọ fun gbogbo awọn ailagbara:
Apaadi
Nesusi IQ
Ṣayẹwo Igbẹkẹle
Igbẹkẹle Track
Lapapọ awọn ailagbara mọ
42
91
51
Awọn ailagbara ti a mọ ti ko tọ (rere eke)
2 (4.76%)
62 (68,13%)
29 (56.86%)
Ko si awọn ailagbara ti o ni ibatan ti a rii (odi eke)
10
20
27
Awọn abajade akopọ nipasẹ paati:
Apaadi
Nesusi IQ
Ṣayẹwo Igbẹkẹle
Igbẹkẹle Track
Lapapọ irinše mọ
62
47
59
Lapapọ awọn paati ipalara
16
13
10
Awọn paati ipalara ti a ṣe idanimọ ti ko tọ (rere eke)
1
5
0
Awọn paati ipalara ti a ṣe idanimọ ti ko tọ (rere eke)
0
6
6
Jẹ ki a kọ awọn aworan wiwo lati ṣe iṣiro ipin ti rere eke ati odi eke si nọmba lapapọ ti awọn ailagbara. Awọn paati ti wa ni samisi ni petele, ati awọn ailagbara ti a damọ ninu wọn jẹ samisi ni inaro.
Fun lafiwe, iwadi ti o jọra ni a ṣe nipasẹ ẹgbẹ Sonatype ṣe idanwo iṣẹ akanṣe kan ti awọn paati 1531 ni lilo Ṣayẹwo Igbẹkẹle OWASP. Gẹgẹbi a ti le rii, ipin ti ariwo si awọn idahun ti o ṣe atunṣe jẹ afiwera si awọn abajade wa.
orisun:
Jẹ ki a wo diẹ ninu awọn CVE lati awọn abajade ọlọjẹ wa lati loye idi fun awọn abajade wọnyi.
Ka siwaju
No.1
Jẹ ki ká akọkọ wo ni diẹ ninu awọn awon ojuami nipa Sonatype Nesusi IQ.
Nesusi IQ tọka si ọrọ kan pẹlu isọdọtun pẹlu agbara lati ṣe RCE ni Ilana orisun omi ni ọpọlọpọ igba. CVE-2016-1000027 ni orisun omi-web: 3.0.5 igba akọkọ, ati CVE-2011-2894 ni orisun omi-context: 3.0.5 ati orisun omi-mojuto: 3.0.5. Ni akọkọ, o han pe išẹpo ti ailagbara wa kọja awọn CVEs pupọ. Nitoripe, ti o ba wo CVE-2016-1000027 ati CVE-2011-2894 ni ibi ipamọ data NVD, o dabi pe ohun gbogbo han gbangba.
Ẹya
Ipalara
orisun omi-ayelujara:3.0.5
CVE-2016-1000027
orisun omi-o tọ: 3.0.5
CVE-2011-2894
orisun omi-mojuto: 3.0.5
CVE-2011-2894
Apejuwe
Apejuwe
CVE-2011-2894 funrararẹ jẹ olokiki pupọ. Ninu iroyin na RemoteInvocationSerializingExporter
ni CVE-2011-2894, ailagbara ni a ṣe akiyesi ni HttpInvokerServiceExporter
. Eyi ni ohun ti Nesusi IQ sọ fun wa:
Sibẹsibẹ, ko si iru eyi ni NVD, eyiti o jẹ idi ti Ṣayẹwo Igbẹkẹle ati Igbẹkẹle Ọkọọkan gba odi eke.
Paapaa lati apejuwe ti CVE-2011-2894 o le ni oye pe ailagbara wa nitootọ ni orisun orisun omi mejeeji: 3.0.5 ati orisun-orisun: 3.0.5. Ijẹrisi eyi ni a le rii ninu nkan kan lati ọdọ ẹni ti o rii ailagbara yii.
No.2
Ẹya
Ipalara
Esi
struts2-mojuto: 2.3.30
CVE-2016-4003
eke
Ti a ba ṣe iwadi CVE-2016-4003 ailagbara, a yoo loye pe o wa titi ni ẹya 2.3.28, sibẹsibẹ, Nesusi IQ ṣe ijabọ rẹ si wa. Akọsilẹ kan wa ninu apejuwe ti ailagbara naa:
Iyẹn ni, ailagbara wa nikan ni apapo pẹlu ẹya ti igba atijọ ti JRE, eyiti wọn pinnu lati kilọ fun wa. Síbẹ̀síbẹ̀, a máa ń wo Ìdára Èké yìí, bí ó tilẹ̀ jẹ́ pé kì í ṣe èyí tí ó burú jù.
3
Ẹya
Ipalara
Esi
xwork-mojuto: 2.3.30
CVE-2017-9804
TÒÓTỌ
xwork-mojuto: 2.3.30
CVE-2017-7672
eke
Ti a ba wo awọn apejuwe ti CVE-2017-9804 ati CVE-2017-7672, a yoo loye pe iṣoro naa jẹ URLValidator class
, pẹlu CVE-2017-9804 stemming lati CVE-2017-7672. Iwaju ailagbara keji ko gbe eyikeyi ẹru ti o wulo miiran ju otitọ pe iwuwo rẹ ti pọ si giga, nitorinaa a le ro pe ariwo ti ko wulo.
Lapapọ, ko si awọn idaniloju eke miiran ti a rii fun Nesusi IQ.
No.4
Awọn nkan pupọ wa ti o jẹ ki IQ duro jade lati awọn solusan miiran.
Ẹya
Ipalara
Esi
orisun omi-ayelujara:3.0.5
CVE-2020-5398
TÒÓTỌ
CVE ni NVD sọ pe o kan si awọn ẹya 5.2.x ṣaaju 5.2.3, 5.1.x ṣaaju 5.1.13, ati awọn ẹya 5.0.x ṣaaju 5.0.16, sibẹsibẹ, ti a ba wo apejuwe CVE ni Nesusi IQ , lẹhinna a yoo rii atẹle naa:
Akiyesi Iyapa Advisory: Ẹgbẹ iwadii aabo aabo Sonatype ṣe awari pe a ṣe afihan ailagbara yii ni ẹya 3.0.2.RELEASE ati kii ṣe 5.0.x bi a ti sọ ninu imọran.
Eyi ni atẹle nipasẹ PoC kan fun ailagbara yii, eyiti o sọ pe o wa ni ẹya 3.0.5.
Odi eke ti firanṣẹ si Ṣayẹwo Igbẹkẹle ati Orin Igbẹkẹle.
No.5
Jẹ ki a wo idaniloju eke fun Ṣayẹwo Igbẹkẹle ati Orin Igbẹkẹle.
Ṣayẹwo Igbẹkẹle duro jade ni pe o ṣe afihan awọn CVE wọnyẹn ti o kan gbogbo ilana ni NVD si awọn paati wọnyẹn eyiti awọn CVE wọnyi ko lo. Eyi ni awọn ifiyesi CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182 “Igbẹkẹle Ayẹwo ” si struts-taglib: 1.3.8 ati struts-tiles-1.3.8. Awọn paati wọnyi ko ni nkankan lati ṣe pẹlu ohun ti a ṣalaye ninu CVE - sisẹ ibeere, afọwọsi oju-iwe, ati bẹbẹ lọ. Eyi jẹ nitori otitọ pe ohun ti awọn CVEs ati awọn paati ni o wọpọ jẹ ilana nikan, eyiti o jẹ idi ti Ayẹwo Igbẹkẹle ṣe akiyesi pe o jẹ ailagbara.
Ipo kanna jẹ pẹlu orisun omi-tx: 3.0.5, ati ipo kanna pẹlu struts-core: 1.3.8. Fun struts-core, Ṣiṣayẹwo Igbẹkẹle ati Igbẹkẹle Track ti rii ọpọlọpọ awọn ailagbara ti o wulo fun struts2-core, eyiti o jẹ ilana ti o yatọ. Ni idi eyi, Nesusi IQ loye aworan naa ni deede ati ninu awọn CVE ti o ti gbejade, o fihan pe struts-core ti de opin igbesi aye ati pe o jẹ dandan lati lọ si struts2-core.
No.6
Ni awọn ipo miiran, ko ṣe deede lati tumọ Ṣiṣayẹwo Igbẹkẹle ti o han gbangba ati aṣiṣe Track Igbẹkẹle. Ni pato CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225 Igbẹkẹle Ṣayẹwo, ati Dependency Ṣayẹwo. Wọn si orisun omi-mojuto: 3.0.5 kosi jẹ ti orisun omi-ayelujara: 3.0.5. Ni akoko kanna, diẹ ninu awọn CVE wọnyi tun rii nipasẹ Nesusi IQ, sibẹsibẹ, IQ ṣe idanimọ wọn ni deede si paati miiran. Nitoripe a ko rii awọn ailagbara wọnyi ni orisun omi-mojuto, ko le ṣe jiyan pe wọn ko si ni ilana ni ipilẹ ati awọn irinṣẹ orisun ṣiṣi tọka si awọn ailagbara wọnyi (wọn kan padanu diẹ).
awari
Gẹgẹbi a ti le rii, ṣiṣe ipinnu igbẹkẹle ti awọn ailagbara ti a mọ nipasẹ atunyẹwo afọwọṣe ko fun awọn abajade ti ko ni idiyele, eyiti o jẹ idi ti awọn ọran ariyanjiyan dide. Awọn abajade ni pe Nesusi IQ ojutu ni oṣuwọn rere eke ti o kere julọ ati iṣedede ti o ga julọ.
Ni akọkọ, eyi jẹ nitori otitọ pe ẹgbẹ Sonatype faagun apejuwe fun ailagbara CVE kọọkan lati NVD ninu awọn apoti isura infomesonu rẹ, n tọka si awọn ailagbara fun ẹya kan pato ti awọn paati si isalẹ si kilasi tabi iṣẹ, ṣiṣe iwadii afikun (fun apẹẹrẹ. , Ṣiṣayẹwo awọn ailagbara lori awọn ẹya sọfitiwia agbalagba).
Ipa pataki lori awọn abajade jẹ tun ṣere nipasẹ awọn ailagbara wọnyẹn ti ko si ninu NVD, ṣugbọn sibẹsibẹ wa ninu aaye data Sonatype pẹlu ami SONATYPE. Gege bi iroyin na
Bi abajade, Ayẹwo Igbẹkẹle ṣe agbejade ariwo pupọ, ti o padanu diẹ ninu awọn paati ipalara. Orin Igbẹkẹle n ṣe agbejade ariwo ti o dinku ati ṣe awari nọmba nla ti awọn paati, eyiti ko ṣe ipalara oju oju ni wiwo oju opo wẹẹbu.
Sibẹsibẹ, adaṣe fihan pe orisun ṣiṣi yẹ ki o di awọn igbesẹ akọkọ si ọna DevSecOps ogbo. Ohun akọkọ ti o yẹ ki o ronu nipa sisọpọ SCA sinu idagbasoke jẹ awọn ilana, eyun, ironu papọ pẹlu iṣakoso ati awọn ẹka ti o jọmọ nipa kini awọn ilana pipe yẹ ki o dabi ninu agbari rẹ. O le jẹ pe fun agbari rẹ, ni akọkọ, Ṣayẹwo Igbẹkẹle tabi Orin Igbẹkẹle yoo bo gbogbo awọn iwulo iṣowo, ati awọn solusan Idawọlẹ yoo jẹ itesiwaju ọgbọn nitori idiju ti ndagba ti awọn ohun elo ti n dagbasoke.
Àfikún A: Awọn abajade paati
Àlàyé:
- Awọn ailagbara ipele giga-giga ati pataki ninu paati naa
- Alabọde - Awọn ailagbara ti ipele pataki pataki alabọde ninu paati
- TÒÓTỌ — Otitọ ọrọ rere
- Eke — Eke rere oro
Ẹya
Nesusi IQ
Ṣayẹwo Igbẹkẹle
Igbẹkẹle Track
Esi
dom4j: 1.6.1
ga
ga
ga
TÒÓTỌ
log4j-mojuto: 2.3
ga
ga
ga
TÒÓTỌ
log4j: 1.2.14
ga
ga
-
TÒÓTỌ
awọn akojọpọ-awọn akojọpọ: 3.1
ga
ga
ga
TÒÓTỌ
commons-gbigbe: 1.3.2
ga
ga
ga
TÒÓTỌ
wọpọ-beanutils:1.7.0
ga
ga
ga
TÒÓTỌ
Commons-kodẹki: 1:10
alabọde
-
-
TÒÓTỌ
mysql-asopọ-java: 5.1.42
ga
ga
ga
TÒÓTỌ
orisun omi-ikosile: 3.0.5
ga
paati ko ri
TÒÓTỌ
orisun omi-ayelujara:3.0.5
ga
paati ko ri
ga
TÒÓTỌ
orisun omi-o tọ: 3.0.5
alabọde
paati ko ri
-
TÒÓTỌ
orisun omi-mojuto: 3.0.5
alabọde
ga
ga
TÒÓTỌ
struts2-konfigi-kiri-afikun: 2.3.30
alabọde
-
-
TÒÓTỌ
orisun omi-tx: 3.0.5
-
ga
-
eke
struts-mojuto: 1.3.8
ga
ga
ga
TÒÓTỌ
xwork-mojuto: 2.3.30
ga
-
-
TÒÓTỌ
struts2-mojuto: 2.3.30
ga
ga
ga
TÒÓTỌ
struts-taglib:1.3.8
-
ga
-
eke
struts-tiles-1.3.8
-
ga
-
eke
Àfikún B: Awọn abajade Ipalara
Àlàyé:
- Awọn ailagbara ipele giga-giga ati pataki ninu paati naa
- Alabọde - Awọn ailagbara ti ipele pataki pataki alabọde ninu paati
- TÒÓTỌ — Otitọ ọrọ rere
- Eke — Eke rere oro
Ẹya
Nesusi IQ
Ṣayẹwo Igbẹkẹle
Igbẹkẹle Track
Iwa
Esi
Ọrọìwòye
dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
ga
TÒÓTỌ
CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
ga
TÒÓTỌ
log4j-mojuto: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
ga
TÒÓTỌ
CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
Low
TÒÓTỌ
log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
ga
TÒÓTỌ
-
CVE-2020-9488
-
Low
TÒÓTỌ
SONATYPE-2010-0053
-
-
ga
TÒÓTỌ
awọn akojọpọ-awọn akojọpọ: 3.1
-
CVE-2015-6420
CVE-2015-6420
ga
eke
Awọn ẹda RCE(OSSINDEX)
-
CVE-2017-15708
CVE-2017-15708
ga
eke
Awọn ẹda RCE(OSSINDEX)
SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
ga
TÒÓTỌ
commons-gbigbe: 1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
ga
TÒÓTỌ
SONATYPE-2014-0173
-
-
alabọde
TÒÓTỌ
wọpọ-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
ga
TÒÓTỌ
-
CVE-2019-10086
CVE-2019-10086
ga
eke
Ailagbara naa kan si awọn ẹya 1.9.2+ nikan
Commons-kodẹki: 1:10
SONATYPE-2012-0050
-
-
alabọde
TÒÓTỌ
mysql-asopọ-java: 5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
ga
TÒÓTỌ
CVE-2019-2692
CVE-2019-2692
-
alabọde
TÒÓTỌ
-
CVE-2020-2875
-
alabọde
eke
Ailagbara kanna bi CVE-2019-2692, ṣugbọn pẹlu akọsilẹ “awọn ikọlu le ni ipa awọn ọja afikun”
-
CVE-2017-15945
-
ga
eke
Ko ṣe pataki si mysql-connector-java
-
CVE-2020-2933
-
Low
eke
Àdáwòkọ ti CVE-2020-2934
CVE-2020-2934
CVE-2020-2934
-
alabọde
TÒÓTỌ
orisun omi-ikosile: 3.0.5
CVE-2018-1270
paati ko ri
-
ga
TÒÓTỌ
CVE-2018-1257
-
-
alabọde
TÒÓTỌ
orisun omi-ayelujara:3.0.5
CVE-2016-1000027
paati ko ri
-
ga
TÒÓTỌ
CVE-2014-0225
-
CVE-2014-0225
ga
TÒÓTỌ
CVE-2011-2730
-
-
ga
TÒÓTỌ
-
-
CVE-2013-4152
alabọde
TÒÓTỌ
CVE-2018-1272
-
-
ga
TÒÓTỌ
CVE-2020-5398
-
-
ga
TÒÓTỌ
Apeere apejuwe kan ni ojurere ti IQ: “Ẹgbẹ iwadii aabo aabo Sonatype ṣe awari pe ailagbara yii ni a ṣe agbekalẹ ni ẹya 3.0.2.TẸ kii ṣe 5.0.x bi a ti sọ ninu imọran.”
CVE-2013-6429
-
-
alabọde
TÒÓTỌ
CVE-2014-0054
-
CVE-2014-0054
alabọde
TÒÓTỌ
CVE-2013-6430
-
-
alabọde
TÒÓTỌ
orisun omi-o tọ: 3.0.5
CVE-2011-2894
paati ko ri
-
alabọde
TÒÓTỌ
orisun omi-mojuto: 3.0.5
-
CVE-2011-2730
CVE-2011-2730
ga
TÒÓTỌ
CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
alabọde
TÒÓTỌ
-
-
CVE-2013-4152
alabọde
eke
Pidánpidán ti ailagbara kanna ni orisun omi-ayelujara
-
CVE-2013-4152
-
alabọde
eke
Ailagbara naa ni ibatan si paati orisun omi-ayelujara
-
CVE-2013-6429
CVE-2013-6429
alabọde
eke
Ailagbara naa ni ibatan si paati orisun omi-ayelujara
-
CVE-2013-6430
-
alabọde
eke
Ailagbara naa ni ibatan si paati orisun omi-ayelujara
-
CVE-2013-7315
CVE-2013-7315
alabọde
eke
PIPIN lati CVE-2013-4152. + Ailagbara naa ni ibatan si paati oju opo wẹẹbu orisun omi
-
CVE-2014-0054
CVE-2014-0054
alabọde
eke
Ailagbara naa ni ibatan si paati orisun omi-ayelujara
-
CVE-2014-0225
-
ga
eke
Ailagbara naa ni ibatan si paati orisun omi-ayelujara
-
-
CVE-2014-0225
ga
eke
Pidánpidán ti ailagbara kanna ni orisun omi-ayelujara
-
CVE-2014-1904
CVE-2014-1904
alabọde
eke
Ailagbara naa ni ibatan si paati orisun omi-web-mvc
-
CVE-2014-3625
CVE-2014-3625
alabọde
eke
Ailagbara naa ni ibatan si paati orisun omi-web-mvc
-
CVE-2016-9878
CVE-2016-9878
ga
eke
Ailagbara naa ni ibatan si paati orisun omi-web-mvc
-
CVE-2018-1270
CVE-2018-1270
ga
eke
Fun orisun omi-ikosile / orisun omi-awọn ifiranṣẹ
-
CVE-2018-1271
CVE-2018-1271
alabọde
eke
Ailagbara naa ni ibatan si paati orisun omi-web-mvc
-
CVE-2018-1272
CVE-2018-1272
ga
TÒÓTỌ
CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
alabọde
TÒÓTỌ
SONATYPE-2015-0327
-
-
Low
TÒÓTỌ
struts2-konfigi-kiri-afikun: 2.3.30
SONATYPE-2016-0104
-
-
alabọde
TÒÓTỌ
orisun omi-tx: 3.0.5
-
CVE-2011-2730
-
ga
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2011-2894
-
ga
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2013-4152
-
alabọde
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2013-6429
-
alabọde
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2013-6430
-
alabọde
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2013-7315
-
alabọde
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2014-0054
-
alabọde
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2014-0225
-
ga
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2014-1904
-
alabọde
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2014-3625
-
alabọde
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2016-9878
-
ga
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2018-1270
-
ga
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2018-1271
-
alabọde
eke
Ailagbara ko ni pato si orisun omi-tx
-
CVE-2018-1272
-
alabọde
eke
Ailagbara ko ni pato si orisun omi-tx
struts-mojuto: 1.3.8
-
CVE-2011-5057 (OSSINDEX)
alabọde
FASLE
Ailagbara si Struts 2
-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
ga
eke
Ailagbara si Struts 2
-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
alabọde
eke
Ailagbara si Struts 2
-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
ga
eke
Ailagbara si Struts 2
CVE-2016-1182
3VE-2016-1182
-
ga
TÒÓTỌ
-
-
CVE-2011-5057
alabọde
eke
Ailagbara si Struts 2
-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
ga
eke
Ailagbara si Struts 2
-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
alabọde
eke
Ailagbara si Struts 2
CVE-2015-0899
CVE-2015-0899
-
ga
TÒÓTỌ
-
CVE-2012-0394
CVE-2012-0394
alabọde
eke
Ailagbara si Struts 2
-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
ga
eke
Ailagbara si Struts 2
-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
ga
eke
Ailagbara si Struts 2
-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
ga
FASLE
Ailagbara si Struts 2
-
CVE-2013-2115
CVE-2013-2115
ga
FASLE
Ailagbara si Struts 2
-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
ga
FASLE
Ailagbara si Struts 2
-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
ga
FASLE
Ailagbara si Struts 2
CVE-2014-0114
CVE-2014-0114
-
ga
TÒÓTỌ
-
CVE-2015-2992
CVE-2015-2992
alabọde
eke
Ailagbara si Struts 2
-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
ga
eke
Ailagbara si Struts 2
CVE-2016-1181
CVE-2016-1181
-
ga
TÒÓTỌ
-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
ga
eke
Ailagbara si Struts 2
xwork-mojuto: 2.3.30
CVE-2017-9804
-
-
ga
TÒÓTỌ
SONATYPE-2017-0173
-
-
ga
TÒÓTỌ
CVE-2017-7672
-
-
ga
eke
Pidánpidán ti CVE-2017-9804
SONATYPE-2016-0127
-
-
ga
TÒÓTỌ
struts2-mojuto: 2.3.30
-
CVE-2016-6795
CVE-2016-6795
ga
TÒÓTỌ
-
CVE-2017-9787
CVE-2017-9787
ga
TÒÓTỌ
-
CVE-2017-9791
CVE-2017-9791
ga
TÒÓTỌ
-
CVE-2017-9793
-
ga
eke
Àdáwòkọ ti CVE-2018-1327
-
CVE-2017-9804
-
ga
TÒÓTỌ
-
CVE-2017-9805
CVE-2017-9805
ga
TÒÓTỌ
CVE-2016-4003
-
-
alabọde
eke
Kan si Apache Struts 2.x to 2.3.28, eyiti o jẹ ẹya 2.3.30. Sibẹsibẹ, da lori apejuwe naa, CVE wulo fun eyikeyi ẹya Struts 2 ti JRE 1.7 tabi kere si lo. Nkqwe wọn pinnu lati tun wa ni idaniloju nibi, ṣugbọn o dabi diẹ sii bi FALSE
-
CVE-2018-1327
CVE-2018-1327
ga
TÒÓTỌ
CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
ga
TÒÓTỌ
Ailagbara kanna ti awọn olosa Equifax lo nilokulo ni ọdun 2017
CVE-2017-12611
CVE-2017-12611
-
ga
TÒÓTỌ
CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
ga
TÒÓTỌ
struts-taglib:1.3.8
-
CVE-2012-0394
-
alabọde
eke
Fun struts2-mojuto
-
CVE-2013-2115
-
ga
eke
Fun struts2-mojuto
-
CVE-2014-0114
-
ga
eke
Fun awọn wọpọ-beanutils
-
CVE-2015-0899
-
ga
eke
Ko kan taglib
-
CVE-2015-2992
-
alabọde
eke
Ntọka si struts2-mojuto
-
CVE-2016-1181
-
ga
eke
Ko kan taglib
-
CVE-2016-1182
-
ga
eke
Ko kan taglib
struts-tiles-1.3.8
-
CVE-2012-0394
-
alabọde
eke
Fun struts2-mojuto
-
CVE-2013-2115
-
ga
eke
Fun struts2-mojuto
-
CVE-2014-0114
-
ga
eke
Labẹ awọn wọpọ-beanutils
-
CVE-2015-0899
-
ga
eke
Ko ṣe kan si awọn alẹmọ
-
CVE-2015-2992
-
alabọde
eke
Fun struts2-mojuto
-
CVE-2016-1181
-
ga
eke
Ko kan taglib
-
CVE-2016-1182
-
ga
eke
Ko kan taglib
orisun: www.habr.com