Fortify軟件安全内容 2022 功能(néng)更新介紹
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2022-06-30
- 訪問量:0
【概要描述】
Fortify軟件安全内容 2022 功能(néng)更新介紹
【概要描述】
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2022-06-30
- 訪問量:0
Fortify軟件安全内容 2022 更新 2
關于 CyberRes Fortify 軟件安全研究
Fortify 軟件安全研究團隊將(jiāng)前沿研究轉化爲支持 Fortify 産品組合的安全情報,包括 Fortify 靜态代碼分析器 (SCA) 和 Fortify WebInspect。如今,Fortify Software Security Content 支持 30 種(zhǒng)語言的 1,220 個漏洞類别,并跨越超過(guò)一百萬個單獨的 API。
Fortify 軟件安全研究 (SSR) 很高興地宣布 Fortify 安全編碼規則包(英語,版本 2022.2.0)、Fortify WebInspect SecureBase(可通過(guò) SmartUpdate 獲得)和 Fortify 高級内容的更新立即可用。
Fortify安全編碼規則包 [SCA]
在此版本中,Fortify 安全編碼規則包可檢測 30 種(zhǒng)編程語言中的 1,000 個獨特類别的漏洞,并跨越超過(guò)一百萬個單獨的 API。總之,此版本包括以下内容:
.NET 改進(jìn)(支持的版本:6.0)
.NET 是一個通用編程平台,它使程序員能(néng)夠使用 C# 和 VB.NET 等語言編寫代碼,并使用一組标準化的 API。此版本將(jiāng)我們的覆蓋範圍擴大到最新版本的 .NET 以改進(jìn)數據流,并擴大以下類别的 API 覆蓋範圍:
Access Control: Database
Path Manipulation
Privacy Violation
Server-Side Request Forgery
SQL Injection
System Information Leak: External
Weak Cryptographic Hash: Insecure PBE Iteration Count
Weak Encryption: Insecure Mode of Operation
ASP.NET Core 改進(jìn)(支持的版本:6.0)
ASP.NET Core 是用于 .NET 的旗艦 Web 框架。該框架包括創建多種(zhǒng)類型應用程序的功能(néng),包括 MVC Web 應用程序和 Web API。此版本將(jiāng)我們的覆蓋範圍擴大到最新版本的 ASP.NET Core,包括最少的 API,并擴展了我們支持的類别,包括:
.NET Attribute Misuse: Authorization Bypass
ASP.NET Bad Practices: Compression Over Encrypted WebSocket Connection
ASP.NET Middleware Out of Order: Default Cookie Configuration
ASP.NET Middleware Out of Order: Insecure Transport
ASP.NET Middleware Out of Order: Insufficient Logging
ASP.NET Misconfiguration: Insecure Transport
Cookie Security: Missing SameSite Attribute
Cookie Security: Overly Permissive SameSite Attribute
弱加密實現
心理簽名 (CVE-2022-21449) 是橢圓曲線數字簽名算法 (ECDSA) 的 Java 實現中的一個弱點。此弱點允許攻擊者強制應用程序接受全零數字簽名爲有效。易受攻擊的 Java 版本包括:15、16、17 和 18。如果使用易受攻擊的 Java 版本,攻擊者可以僞造某些類型的 SSL 證書、簽名的 JSON Web 令牌,甚至是 WebAuthn 身份驗證消息。此版本增加了對(duì)報告Java 中的弱加密實現的支持。
Jakarta EE 支持(支持的版本:9.0.0)
Jakarta EE 以用于開(kāi)發(fā)雲原生 Java 應用程序的開(kāi)源框架的形式提供了供應商中立的、開(kāi)放的、全面(miàn)的規範集。它以前被稱爲 Java EE(或 J2EE),它是最知名的服務器端 Java 框架之一。此版本增加了對(duì)現有 Java EE 覆蓋範圍的改進(jìn),涵蓋 52 個弱點類别。
秘密掃描改進(jìn)
秘密掃描是一種(zhǒng)在源代碼和配置文件中搜索和檢測秘密的技術。有時(shí),包含密碼或 API 令牌的配置文件可能(néng)會(huì)意外洩露到源代碼存儲庫。此版本包括對(duì)常見密碼哈希格式的支持。覆蓋範圍包括識别常見密碼哈希格式和産品配置文件中的秘密,包括以下産品:OpenVPN、Windows 遠程桌面(miàn)、netrc、IntelliJ IDEA、DBeaver、FileZilla、Heroku 和 DigitalOcean doctl。
爲以下類别提供了增強的覆蓋範圍:
Key Management: Empty Encryption Key
Key Management: Hardcoded Encryption Key
Key Management: Null Encryption Key
Password Management: Hardcoded Password
Password Management: Password in Configuration File
Password Management: Weak Cryptography
Express JS 改進(jìn)(支持的版本:4.x)[1]
Express 是一個使用 Node.js 構建 Web 應用程序的框架。它提供路由、錯誤處理、模闆、中間件管理和 HTTP 相關實用程序的功能(néng)。
在此版本中,我們改進(jìn)了對(duì)以下類别的 Express 4.x 的支持:
Cookie Security: Missing SameSite Attribute
Cookie Security: Overly Permissive SameSite Attribute
Insecure Transport
Path Manipulation
Privacy Violation
Process Control
Setting Manipulation
System Information Leak: External
JavaScript Handlebars(支持的版本:4.7.7)
Handlebars 是一個 JavaScript 庫,旨在制作可重用的 Web 模闆。這(zhè)些模闆是 HTML、文本和表達式的組合。表達式直接嵌入在 HTML 代碼中,并充當要由代碼插入的内容的占位符,從而使文檔易于重用。
在此版本中,我們增加了對(duì) Handlebars 4.7.7 的支持,改進(jìn)了數據流覆蓋範圍,并擴展了以下類别的 API 覆蓋範圍:
Cross-Site Scripting: Handlebars Helper
Handlebars Misconfiguration: Escaping Disabled
Handlebars Misconfiguration: Prototypes Allowed
Log Forging
Log Forging (debug)
Privacy Violation
System Information Leak
Template Injection
JavaScript Mustache(支持的版本:4.2.0)
Mustache 是一個開(kāi)源的無邏輯模闆系統,它提供模闆和視圖作爲創建動态模闆的基礎。模闆包含演示格式和代碼,而視圖包含要包含在模闆中的數據。
在此版本中,我們添加了對(duì) Mustache 4.2.0 的支持,以識别模闆注入的弱點。\
GraphQL.js(支持的版本:16.5.0)
GraphQL.js 是 GraphQL 的 JavaScript 參考實現,廣泛用于 JavaScript 應用程序。此版本添加了初始 GraphQL 服務器支持,以檢測 GraphQL API 中的以下弱點類别:
Cross-Site Scripting: Inter-Component Communication
Cross-Site Scripting: Persistent
Cross-Site Scripting: Poor Validation
Cross-Site Scripting: Reflected
GraphQL Bad Practices: Introspection Enabled
GraphQL Bad Practices: GraphiQL Enabled
Privacy Violation
System Information Leak: External
Graphene-Python(支持的版本:3.0.0)
Python-Graphene 是用于 Python 應用程序的流行 GraphQL 服務器框架。此版本改進(jìn)了我們從 2022.1.0 開(kāi)始的 GraphQL 服務器支持,以檢測 GraphQL API 中的以下弱點類别:
Cross-Site Scripting: Inter-Component Communication
Cross-Site Scripting: Persistent
Cross-Site Scripting: Poor Validation
Cross-Site Scripting: Reflected
Privacy Violation
System Information Leak: External
雲基礎設施即代碼
基礎設施即代碼 (IaC) 是通過(guò)代碼而不是各種(zhǒng)手動過(guò)程來管理和供應計算機資源的過(guò)程。此版本增加了對(duì) IaC 的擴展支持。支持的技術包括用于部署到 Azure 和 AWS 的 Ansible 配置以及用于部署到 Azure 和 GCP 的 Terraform 配置。現在向(xiàng)開(kāi)發(fā)人員報告與上述服務配置相關的常見問題。
Terraform 配置:Terraform 是一種(zhǒng)開(kāi)源基礎設施即代碼工具,用于構建、更改和控制雲基礎設施。它使用自己的聲明性語言,稱爲 HashiCorp 配置語言 (HCL)。雲基礎設施被編入配置文件以描述所需的狀态。
Terraform 提供程序支持Microsoft Azure基礎架構的配置和管理。在此版本中,我們報告了 Microsoft Azure 服務 Terraform 配置的以下類别:
Azure Terraform 配置錯誤:不安全的應用服務傳輸
Azure Terraform 配置錯誤:不安全的 CDN 終結點傳輸
Azure Terraform 配置錯誤:不安全的函數應用程序傳輸
Azure Terraform 配置錯誤:不安全的邏輯應用程序傳輸
Azure Terraform 配置錯誤:不安全的 MariaDB 傳輸
Azure Terraform 配置錯誤:不安全的 MySQL 傳輸
Azure Terraform 配置錯誤:不安全的網絡監視器傳輸
Azure Terraform 配置錯誤:不安全的 PostgresSQL 傳輸
Azure Terraform 配置錯誤:不安全的 Redis 緩存傳輸
Azure Terraform 配置錯誤:不安全的 Spring Cloud Redis 傳輸
Azure Terraform 配置錯誤:不安全的 Spring Cloud 傳輸
Azure Terraform 配置錯誤:不安全的存儲帳戶傳輸
Terraform 提供程序支持Google Cloud Platform (GCP)基礎架構的配置和管理。在此版本中,我們報告了 Google Cloud Platform Terraform 配置的以下類别:
GCP Terraform 不良做法:過(guò)于寬松的服務帳戶
GCP Terraform 配置錯誤:BigQuery 數據集可公開(kāi)訪問
GCP Terraform 配置錯誤:Cloud DNS DNSSEC 已禁用
GCP Terraform 配置錯誤:Cloud KMS CryptoKey 可公開(kāi)訪問
GCP Terraform 配置錯誤:Cloud SQL 備份已禁用
GCP Terraform 配置錯誤:可公開(kāi)訪問的雲存儲桶
GCP Terraform 配置錯誤:計算引擎訪問控制
GCP Terraform 配置錯誤:Compute Engine 默認服務帳号
GCP Terraform 配置錯誤:Compute Engine 項目範圍的 SSH
GCP Terraform 配置錯誤:Google 項目網絡訪問控制
GCP Terraform 配置錯誤:不安全的 Cloud SQL 傳輸
GCP Terraform 配置錯誤:不安全的負載均衡器傳輸
GCP Terraform 配置錯誤:雲存儲桶日志記錄不足
GCP Terraform 配置錯誤:GKE 集群日志記錄不足
GCP Terraform 配置錯誤:GKE 集群監控不足
GCP Terraform 配置錯誤:VPC 流日志記錄不足
GCP Terraform 配置錯誤:GKE 集群管理界面(miàn)訪問控制
GCP Terraform 配置錯誤:基于 GKE 集群證書的身份驗證
GCP Terraform 配置錯誤:GKE 集群舊版授權
GCP Terraform 配置錯誤:GKE 集群 HTTP 基本身份驗證
GCP Terraform 配置錯誤:未使用 GKE Container-Optimized OS
GCP Terraform 配置錯誤:GKE 節點自動升級已禁用
GCP Terraform 配置錯誤:弱加密雲 DNS 簽名
GCP Terraform 配置錯誤:GKE 集群網絡管理薄弱
GCP Terraform 錯誤配置:弱密鑰管理
Ansible 配置:Ansible 是一個開(kāi)源自動化工具,可爲各種(zhǒng)環境提供配置管理、應用程序部署、雲供應和節點編排。
Ansible 包括支持配置和管理Amazon Web Services (AWS)的模塊。在此版本中,我們報告了 AWS Ansible 配置的以下類别:
AWS Ansible 錯誤配置:Amazon RDS 可公開(kāi)訪問
AWS Ansible 錯誤配置:不安全的 CloudFront 分配傳輸
AWS Ansible 配置錯誤:CloudTrail 日志記錄不足
Ansible 還(hái)包括支持Microsoft Azure 雲計算服務的配置和管理的模塊。在此版本中,我們報告了 Microsoft Azure Ansible 配置的以下類别:
Azure Ansible 錯誤配置:過(guò)于寬松的 Azure SQL 數據庫防火牆
其他勘誤表
在此版本中,我們繼續投入資源以确保我們可以減少誤報問題的數量并提高客戶審核問題的能(néng)力。客戶還(hái)可以期望看到與以下相關的已報告問題的變化:
Log4j(支持的版本:2.17)
對(duì) Log4j 的支持現在包括檢測新類别拒絕服務:堆棧耗盡。
Oslo.config(支持的版本:8.8.0)
對(duì) Python 的 oslo.config 的初始支持包括檢測新類别Privacy Violation: Unobfuscated Logging。
Objective-C 錯誤修複和性能(néng)改進(jìn)
使用 2022R1 規則包掃描包含 Objective-C 文件的項目的客戶可能(néng)會(huì)遇到以下問題:
在掃描階段,“[error] Unexpected exception during dataflow analysis...”形式的錯誤消息可能(néng)會(huì)出現在 SCA 輸出或日志文件中
數據流分析中的掃描時(shí)間異常長(cháng),可能(néng)導緻數據流丢失問題
向(xiàng)受影響的客戶提供了一個 Objective-C 修補程序規則包來解決這(zhè)些問題。此官方 R2 版本中包含相同的修複程序。使用修補程序規則包的客戶應在更新到 R2 版本規則包時(shí)删除修補程序規則包。
誤報改進(jìn):
繼續努力消除此版本中的誤報。除了其他改進(jìn)之外,客戶還(hái)可以期望在以下方面(miàn)進(jìn)一步消除誤報:
SQL 注入:iBatis 數據映射- 遇到文字“$”字符時(shí)防止誤報
密碼管理:配置文件中的密碼- 當值是變量占位符時(shí)防止誤報
NET MVC 不良做法:具有必需的不可爲空屬性的模型- 使用 [BindRequired] 屬性時(shí),在 C# ASP.NET 應用程序中防止誤報
經(jīng)常被誤用:身份驗證- Java 應用程序中的誤報減少
XSS:内容嗅探- Java Spring 應用程序中的誤報減少
隐私違規- .NET 應用程序中的誤報減少
SOQL 注入和SOSL 注入- 語義分析器發(fā)現的問題現在將(jiāng)以低強化優先級順序報告
Fortify SecureBase [Fortify WebInspect]
Fortify SecureBase 結合了對(duì)數千個漏洞的檢查與指導用戶通過(guò) SmartUpdate 立即獲得以下更新的策略:
漏洞支持
OGNL 表達式注入:雙重評估
CVE-2022-26134 發(fā)現的一個嚴重的 OGNL 表達式注入漏洞會(huì)影響 Atlassian Confluence Server 和 Data Center。此漏洞允許未經(jīng)身份驗證的攻擊者在易受攻擊的應用程序上執行任意代碼。Confluence Server 和 Data Center 受影響的版本是從 1.3.0 到 7.4.16,從 7.13.0 到 7.13.6,從 7.14.0 到 7.14.2,從 7.15.0 到 7.15.1,從 7.16.0到 7.16.3、從 7.17.0 到 7.17.3 和 7.18.0。此版本包括一項檢查,以檢測受影響的 Confluence 和數據中心服務器中的此漏洞。
動态代碼評估:代碼注入
已發(fā)現 Pivotal 的 Spring Framework 容易受到 CVE-2022-22965 标識的遠程代碼執行 (RCE) 漏洞的攻擊。遠程攻擊者可以提供可導緻任意代碼執行的特制請求參數。此版本包括一項檢查,以檢測受影響 Spring Framework 版本的 Web 應用程序中的此漏洞。
不安全的部署:OpenSSL
OpenSSL 是一種(zhǒng)廣泛用于支持 SSL/TLS 連接的流行加密庫,已被發(fā)現容易受到 CVE-2022-0778 識别的拒絕服務 (DoS) 漏洞的攻擊。通過(guò)制作具有無效顯式橢圓曲線參數的證書,可以在受影響的系統上觸發(fā)無限循環 DoS。此版本包括檢測目标 Web 服務器上的 CVE-2022-0778 漏洞的檢查。由于此檢查有可能(néng)在受影響的系統上導緻 DoS 條件導緻其無法提供服務,因此此檢查不包含在标準策略中。使用“所有檢查”策略、自定義現有策略以包含檢查,或創建自定義策略來運行此檢查。
其他勘誤表
在此版本中,我們繼續投入資源以減少誤報的數量并提高客戶審核問題的能(néng)力。客戶還(hái)可以期望看到與以下相關的報告結果的變化:
密碼管理:弱密碼策略
此版本包括對(duì)密碼策略檢查的細微改進(jìn),當輸入類型爲文本框時(shí),密碼/用戶名字段的識别精度更高。
Fortify優質内容
研究團隊在我們的核心安全情報産品之外構建、擴展和維護各種(zhǒng)資源。
強化分類:軟件安全錯誤
Fortify Taxonomy 站點包含對(duì)新添加的類别支持的描述,可在網站上找到。尋找具有最新支持更新的舊站點的客戶可以從 Fortify 支持門戶獲取它。
聯系 Fortify 技術支持
關于蘇州華克斯信息科技有限公司
聯系方式:400-028-4008
0512-62382981
專業的測試及安全産品服務提供商
Fortify | Webinspect | AppScan
SonarQube | 極狐GitLab
LoadRunner | UFT(QTP) | ALM(QC)
Micro Focus 鉑金合作夥伴
SonarQube中國(guó)總代理
極狐GitLab鉑金級合夥伴
HCL中國(guó)合作夥伴
掃二維碼用手機看
更多資訊