ソースコードのセキュリティを重視し、国内外の最新情報を収集!
コンパイル: コードガード
Apache Ivy にはブラインド XPath インジェクションの脆弱性が存在し、攻撃者がデータを抽出し、Apache Ivy を実行しているマシンに限定された機密情報にアクセスできる可能性があります。
この脆弱性は Apache Ivy バージョン 2.5.2 より前に存在し、独自の構成 Maven POM を解析する際に XML ファイルを解析する際にトリガーされ、外部ドキュメントのダウンロードとエンティティ参照の拡張が発生します。攻撃者は、このブラインド XPath インジェクションの脆弱性を悪用して、さまざまな方法で Ivy を操作および実行したり、マシン上の機密情報にアクセスしたりする可能性があります。この脆弱性は、XML 外部エンティティ参照に対する不適切な制限によって引き起こされます。
Apache Ivy は、プロジェクトの依存関係の解決を担当する依存関係マネージャーであり、Apache Ant プロジェクトの一部であり、プロジェクトのビルドに必要なリソースをリストした XML ファイルを使用してプロジェクトの依存関係を定義します。この脆弱性の CVE 番号は CVE-2022-46751 で、CVSS スコアはまだ提供されていません。
Apache Ivy 2.5.2 がリリースされました
Apache Ivy バージョン 2.5.2 より前は、Apache Ivy は Maven POM およびその他のファイルを解析するときに DTD 処理を実行していました。ただし、新しくリリースされた Apache Ivy バージョン 2.5.2 では、Maven POM を除くすべてのファイルの DTD 処理が無効になり、既存の Maven POM を処理するための DTD フラグメントのみを含めることができます。
これらは合法的な XML ファイルではありませんが、Maven POM によって受け入れられます。Apache Ivy は、Apache Tomcat プロジェクトからの 2000 ソフトウェア ビルド プロセスの自動化を担当する Apache Ant プロジェクトの一部です。
脆弱性の悪用を防ぐために、ユーザーは Apache Ivy 2.5.2 の最新バージョンにアップグレードすることをお勧めします。または、ユーザーは Java システム プロパティを使用して、外部 DTD の処理を制限できます。
Code Guard トライアル アドレス: https://codesafe.qianxin.com
オープンソース ガードのトライアル アドレス: https://oss.qianxin.com
推奨読書
パッチが適用されていない Apache Tomcat サーバーが Mirai ボットネット マルウェアを拡散
Apache Jackrabbit に重大な RCE 脆弱性
Apache Superset のセッション認証の脆弱性により、攻撃者が未承認のリソースにアクセスできる可能性があります
【再掲】Apache Kafka Connect JNDI インジェクションの脆弱性 (CVE-2023-25194) セキュリティリスクに関するお知らせ
オンライン閲覧版:「2023年中国ソフトウェアサプライチェーンセキュリティ分析報告書」全文
Qi Anxinは世界的な「静的アプリケーションセキュリティテストパノラマ」の代表メーカーに選ばれました
Qi Anxinは世界的な「ソフトウェアコンポーネント分析のパノラマ」で代表メーカーに選ばれました
元のリンク
https://gbhackers.com/apache-ivy-injection-flaw/
タイトル画像: Pexels ライセンス
この記事は Qi Anxin によって編集されたものであり、Qi Anxin の見解を表すものではありません。「Qi Anxin Code Guard https://codesafe.qianxin.com から転載」と明記してください。
Qi Anxin コードガード (コードセーフ)
国内初のソフトウェア開発セキュリティに特化した製品群。
良いと感じたら、「見る」または「いいね」をクリックしてください〜