脆弱性の説明
crypto-js は、ブラウザーおよび Node.js 環境で暗号化および復号化操作を実行するための JavaScript 暗号化ライブラリです。
crypto-js 3.2.1 より前のバージョンの secureRandom 関数は、文字列 0. を 3 桁のランダムな整数と連結することによって暗号化された文字列を生成し、攻撃者はブラストによって暗号化された文字を解読できます。
脆弱性名 | crypto-js<3.2.1 には安全でないランダム性の脆弱性があります |
---|---|
脆弱性の種類 | 暗号化の脆弱性がある PRNG を使用する |
発見時間 | 2023/6/12 |
脆弱性の範囲 | 一般的 |
MPS番号 | MPS-1z0k-uh5s |
CVE番号 | CVE-2020-36732 |
CNVD番号 | - |
影響範囲
crypto-js@[3.1.2、3.2.1)
修理計画
コンポーネント crypto-js をバージョン 3.2.1 以降にアップグレードします。
参考リンク
https://www.oscs1024.com/hd/MPS-2022-62859
https://nvd.nist.gov/vuln/detail/CVE-2023-20887
https://www.vmware.com/security/advisories/VMSA-2023-0012.html
https://kb.vmware.com/s/article/92684
マーフィーセキュリティについて
マーフィー セキュリティは、プロフェッショナルなソフトウェア サプライ チェーン セキュリティ管理を提供するテクノロジー企業です。コア チームは、Baidu、Huawei、Wuyun などの企業から構成されています。同社は、顧客に完全なソフトウェア サプライ チェーン セキュリティ管理プラットフォームを提供し、ソフトウェアを提供します。 SBOM セキュリティ管理に関する全ライフサイクル、プラットフォーム機能には、ソフトウェア コンポーネント分析、ソース セキュリティ管理、コンテナ イメージ検出、脆弱性インテリジェンスの早期警告、商用ソフトウェア サプライ チェーン アクセス評価およびその他の製品が含まれます。サプライチェーンの資産識別管理、リスク検出、セキュリティ管理、ワンクリック修復に至るまでの完全な制御機能を顧客に提供します。
オープンソース プロジェクト: https://kb.vmware.com/s/article/92684
この製品は、IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus などの多数のツールとのシームレスな統合を含め、既存の開発プロセスのさまざまなツールと非常に低コストで統合できます。
無料のコードセキュリティ検出ツール: https://www.murphysec.com/?sf=qbyj
無料のインテリジェンスサブスクリプション: https://www.oscs1024.com/cm/?sf=qbyj