Топ-5 уязвимостей безопасности с открытым исходным кодом в декабре
Какие основные уязвимости поразили наши любимые проекты с открытым исходным кодом в декабре этого года?
В то время как все вы, трудолюбивые люди, надеемся, воспользовались веселым месяцем декабря для столь необходимых рождественских и новогодних каникул и/или празднований, наша база данных продолжает собирать проекты с открытым исходным кодом и уязвимости.
С момента публикации нашего 10 лучших уязвимостей 2017 года мы получили массу положительных отзывов от наших читателей, которые говорят, что это полезный ресурс для отслеживания самых актуальных и актуальных уязвимостей в программном обеспечении с открытым исходным кодом. Не желая разочаровывать наших поклонников, мы решили сделать это ежемесячным мероприятием и будем публиковать список 5 основных уязвимостей, чтобы вам было немного легче оставаться на вершине безопасности с открытым исходным кодом.
В этом месяце в базу данных WhiteSource были добавлены несколько чрезвычайно популярных и активных проектов с открытым исходным кодом. Скорее всего, ваши разработчики используют по крайней мере несколько из них.
Наш декабрьский список Top 5 упорядочен в зависимости от того, сколько организаций пострадали от уязвимости и должны были обновить свой проект. Список включает только те уязвимости, которые были классифицированы нами как средние, высокие или критические в NVD и дополнительных рекомендациях по безопасности.
База данных WhiteSource постоянно отслеживает и собирает информацию из широко используемой Национальной базы данных уязвимостей (NVD), а также из ряда общедоступных рецензируемых рекомендаций по безопасности с открытым исходным кодом, чтобы мы могли представить вам этот список обновлений. актуальные известные уязвимости с открытым исходным кодом и предлагаемые исправления.
Итак, без лишних слов, приготовьтесь к декабрьским топ-5 уязвимым проектам с открытым исходным кодом.
#1 CPython
Оценка уязвимости: критическая — 9,8
CPython — чрезвычайно популярный язык программирования с открытым исходным кодом, используемый для создания веб-приложений, а также имеющий множество других применений. С момента своего выпуска почти 30 лет назад он был разработан и используется многими в сообществе открытого исходного кода. Второй по популярности язык программирования на GitHub. Мы можем видеть, насколько он широко используется на его странице Github, с более чем 100 000 коммитов.
Обнаруженная критическая уязвимость может быть использована для создания специально созданного файла исходного кода Python, который при загрузке целевым пользователем будет выполнять произвольный код в целевой системе через переполнение буфера. Это может привести к несанкционированному раскрытию информации, несанкционированному изменению или прерыванию обслуживания. В общем, вредительство всякой всячины.
Исправление этой критической проблемы можно найти на GitHub.
#2 Момент.js
Серьезность: высокая — 7,5
Есть ли какие-нибудь опытные разработчики JavaScript, которым не приходилось бороться с объектом Date в JavaScript? Возможно нет.
Даты и время используются практически в каждом приложении. Они могут понадобиться для отслеживания создания объекта с использованием времени, прошедшего с момента возникновения события, или для сохранения даты события. С объектом Date в JavaScript может быть сложно работать, поскольку он требует от разработчика написания большого количества строк кода, если он хочет выполнить сложный синтаксический анализ, проверку или отображение дат.
Здесь на помощь приходит Moment.js. Moment.js — это бесплатная библиотека JavaScript с открытым исходным кодом для работы с датами и временем, которая освобождает разработчиков от необходимости напрямую использовать нативный объект Date JavaScript. Moment.js также предлагает множество плагинов, которые обеспечивают дополнительные функции, такие как поддержка часового пояса, повторение и интеграция с Twitter.
Данные GitHub показывают, что Moment.js поддерживается большим и активным сообществом разработчиков, состоящим из 455 участников и более 300 коммитов за шесть лет с момента его первоначального выпуска.
Этот компонент имеет относительно хорошую историю с безопасностью. За шесть лет, прошедших с момента его первоначального выпуска, если не считать еще одного отказа в обслуживании с помощью регулярных выражений (ReDoS) в 2016 году, он был относительно безопасным.
К сожалению, в этом месяце Moment.js снова столкнулся с другой уязвимостью, которая, по словам исследователей, может сделать пользователей уязвимыми для еще одной атаки ReDoS, что гарантирует этому проекту оценку 7,5 по шкале CVSS.
Вы могли заметить, что уязвимость не имеет стандартного CVE-идентификатора. Это связано с тем, что уязвимости нет в Национальной базе данных уязвимостей (NVD). Поскольку NVD такой большой и хорошо зарекомендовавший себя, не многие понимают, что он не содержит всех уязвимостей с открытым исходным кодом, и некоторые важные из них, такие как эта в Moment.js, могут отсутствовать.
Иногда уязвимость обнаруживается исследовательской группой и включается в рекомендации, которых нет в базе данных NVD. Вот почему база данных WhiteSource не ограничивается только уязвимостями NVD и собирает данные из дополнительных источников безопасности. Уязвимость Moment.js была добавлена в базу данных WhiteSource в результате сканирования дополнительных рекомендаций по безопасности.
Исследователи предоставили исправление через: простое обновление Moment.js до версии 2.19.3.
Подробнее о последней уязвимости Moment.js и ее устранении можно прочитать здесь и здесь на GitHub.
#3 Весна-LDAP версии 1.3.0–2.3.1
Серьезность: высокая — 8,1
Когда широко используемый инструмент с открытым исходным кодом для получения и управления идентификаторами и разрешениями в больших каталогах становится уязвимым, он получает место в топ-5 ежемесячных уязвимостей за декабрь.
Spring LDAP — это библиотека с открытым исходным кодом для программирования LDAP на Java. Он предоставляет среду-оболочку вокруг реализаций LDAP, которая упрощает операции LDAP (Lightweight Directory Access Protocol), избавляя разработчиков от общих задач, таких как поиск и закрытие контекстов, циклический просмотр результатов, кодирование и декодирование значений и фильтров и многое другое.
Обнаруженная уязвимость представляет собой уязвимость высокой степени серьезности при аутентификации при входе в систему, которая может позволить пользователям войти в систему с произвольным паролем, если введенное ими имя пользователя является правильным. Если хакеры воспользуются этой уязвимостью, она может стать кошмаром для организации и любого, чья личная информация хранилась на взломанном сервере.
Исправление доступно на GitHub.
#4 Сваггер-парсер
Серьезность: высокая — 8,8
Проект с открытым исходным кодом Swagger считывает спецификации OpenAPI в текущие POJO Java (Plain Old Java O объекты). Он также предоставляет простую структуру для добавления дополнительных преобразователей из разных форматов в объекты Swagger, делая доступной всю цепочку инструментов.
Swagger имеет чрезвычайно активное сообщество разработчиков и является крупнейшей средой инструментов разработки API для спецификации OpenAPI (OAS). Он обеспечивает разработку на протяжении всего жизненного цикла API, от проектирования и документации до тестирования и развертывания.
Популярность и область применения этой библиотеки означают, что она используется во многих проектах разработки приложений, и что уязвимость может поставить многие продукты под угрозу эксплуатации.
Обнаруженная уязвимость может привести к выполнению произвольного кода, а значит, может привести к несанкционированному раскрытию информации, несанкционированному изменению и нарушению обслуживания.
Подробнее об уязвимости и ее исправлении можно узнать на GitHub.
№5 Весенний поток паутины
серьезность: средняя — 5,9
Еще один широко используемый проект из популярного проекта Spring с открытым исходным кодом, Spring Web Flow.
облегчает создание веб-приложений, требующих управляемой навигации или «потока».
Такие приложения, как корзина для покупок, регистрация на рейс, заявка на получение кредита и другие, которые помогают пользователю выполнить бизнес-задачу. В отличие от навигации в свободной форме, такие варианты использования имеют четкую начальную и конечную точки, один или несколько экранов для прохождения в определенном порядке и набор изменений, которые не дорабатываются до конца. «Поток» охватывает несколько HTTP-запросов, имеет состояние, имеет дело с транзакционными данными, может использоваться повторно и может быть динамическим и длительным по своей природе.
Обнаруженная уязвимость может сделать возможным несанкционированное изменение. Для приложений, к которым обращается большое количество пользователей и которые предоставляют доступ к конфиденциальным данным пользователей или организаций, это может быть чрезвычайно рискованно.
Проект Spring Web Flow предоставляет исправление проблемы на GitHub.
Новый год — новые уязвимости
Все пять из этих уязвимостей находятся в широко используемых компонентах с открытым исходным кодом и, вероятно, затронут многие организации. В начале 2018 года мы надеемся, что вы воспользуетесь этим списком, чтобы найти любые опасные компоненты в своей системе и начать безопасный 2018 год. В следующем месяце мы представим вам новые обновления, полные самых актуальных уязвимостей, которые помогут вам оставаться в курсе. чтобы ускорить все, что вам нужно знать, чтобы обеспечить безопасность вашего программного обеспечения.
Первоначально опубликовано на сайте www.whitesourcesoftware.com 3 января 2018 г.
