Fortify軟件安全内容 2022 更新 3

關于 CyberRes Fortify 軟件安全研究

Fortify 軟件安全研究團隊將(jiāng)前沿研究轉化爲爲 Fortify 産品組合（包括 Fortify 靜态代碼分析器 (SCA) 和 Fortify WebInspect）提供支持的安全情報。如今，Fortify Software Security Content 支持 30 種(zhǒng)語言的 1,244 個漏洞類别，并跨越超過(guò)一百萬個單獨的 API。

Fortify Software Security Research (SSR) 很高興地宣布 Fortify 安全編碼規則包（英語，版本 2022.3.0）、Fortify WebInspect SecureBase（可通過(guò) SmartUpdate 獲得）和 Fortify 高級内容的更新立即可用。

[WebInspect]

Fortify SecureBase 結合了對(duì)數千個漏洞的檢查與指導用戶通過(guò) SmartUpdate 立即獲得以下更新的策略：

漏洞支持

不安全的部署：未打補丁的應用程序

dotCMS 是一種(zhǒng)内容管理系統，它提供了在一個集中位置創建和重用内容、圖像和資産的能(néng)力。ContentResource API 易受 CVE-2022-26352 标識的遠程代碼執行 (RCE) 漏洞的影響。用于存儲内容的文件名是根據多部分請求中提供的用戶輸入構造的，并且不會(huì)被 dotCMS 清理。它使攻擊者能(néng)夠在系統上上傳任意文件，從而導緻 RCE。此版本包括在運行受影響的 dotCMS 版本的目标服務器上檢測此漏洞的檢查。

不安全的部署：未打補丁的應用程序

Apache APISIX 是一個開(kāi)源 API 網關，提供負載均衡、動态上遊等流量管理功能(néng)。此 API 網關易受 CVE-2022-24112 标識的 RCE 漏洞的影響。攻擊者可以通過(guò)批處理請求插件繞過(guò) Apache APISIX 的 IP 限制。如果 APISIX 使用默認的 Admin 密鑰，并且啓用了 Admin API 并且沒(méi)有分配自定義管理端口，則攻擊者可以通過(guò)批處理請求插件調用 Admin API，從而導緻 RCE。此版本包括在運行受影響的 Apache APISIX 版本的目标服務器上檢測此漏洞的檢查。

動态代碼評估：JNDI 參考注入^[3]

Java 命名和目錄接口 (JNDI) 是一種(zhǒng) Java API，它使客戶端能(néng)夠按名稱發(fā)現和查找數據和對(duì)象。這(zhè)些對(duì)象可以通過(guò)不同的命名或目錄服務進(jìn)行存儲和檢索，例如遠程方法調用 (RMI)、通用對(duì)象請求代理體系結構 (CORBA)、輕量級目錄訪問協議 (LDAP) 或域名服務 (DNS)。如果攻擊者獲得對(duì) JNDI 查找操作參數的控制，他們可以將(jiāng)查找指向(xiàng)他們控制下的命名或目錄服務，并返回使用遠程工廠進(jìn)行對(duì)象實例化的 JNDI 引用。這(zhè)種(zhǒng)攻擊可以在執行查找操作的目标服務器上執行任意遠程代碼。此版本包括一項檢查以檢測目标 Web 服務器上的此漏洞。

動态代碼評估：不安全的反序列化^[3]

CVE-2022-21445 在 Oracle 融合中間件 12.2.1.3.0 和 12.2.1.4.0 版本的 ADF Faces 組件中發(fā)現了一個預授權不安全的 Java 反序列化漏洞。它影響所有依賴 ADF Faces 組件的應用程序，包括商業智能(néng)、企業管理器、身份管理、SOA 套件、WebCenter 門戶、應用程序測試套件和運輸管理。此問題使攻擊者能(néng)夠在服務器上執行任意代碼、濫用應用程序邏輯或發(fā)起(qǐ)拒絕服務 (DoS) 攻擊。此版本包括一項檢查以檢測目标 Web 服務器上的此漏洞。

合規報告

2022 CWE 前 25 名

通用弱點枚舉 (CWE ) 前 25 個最危險的軟件弱點（CWE Top 25）于 2019 年推出，取代了 SANS Top 25。2022 CWE Top 25 于 6 月發(fā)布，使用啓發(fā)式公式确定過(guò)去兩(liǎng)年向(xiàng)國(guó)家漏洞數據庫 (NVD) 報告的漏洞。此 SecureBase 更新包括直接映射到由 CWE Top 25 标識的類别或通過(guò)“ChildOf”關系與 Top 25 中的 CWE-ID 相關的 CWE-ID 的檢查。

政策更新

2022 CWE 前 25 名

WebInspect SecureBase 支持策略列表中添加了一項自定義策略，以包括與 2022 CWE Top 25 相關的檢查。

其他勘誤表

在此版本中，已投入資源以進(jìn)一步減少誤報數量并提高客戶審核問題的能(néng)力。客戶還(hái)可以期望看到與以下相關的報告結果的變化：

動态代碼評估：不安全的反序列化^[4]

由 ID 11504 标識的檢查已修改爲使用支持 OAST 功能(néng)的有效負載。改進(jìn)此檢查可減少誤報并提高其結果的效率和準确性。

Fortify優質内容

研究團隊在我們的核心安全情報産品之外構建、擴展和維護各種(zhǒng)資源。

2022 CWE 前 25 名

爲了配合新的關聯，此版本還(hái)包含 Fortify 軟件安全中心的新報告包，支持 2022 CWE Top 25，可從 Fortify 客戶支持門戶的高級内容下下載。

Fortify分類：軟件安全錯誤

Fortify Taxonomy 站點包含對(duì)新添加的類别支持的描述，可在https://vulncat.fortify.com上找到。尋找具有最新支持更新的舊站點的客戶可以從 Fortify 支持門戶獲取它。

[1] Requires Fortify Static Code Analyzer version 22.2.0 or later.
[2] Requires Fortify Static Code Analyzer version 22.2.0 or later.
[3] Requires OAST features that are available in the WebInspect 21.2.0.117 patch or later.
[4] Requires OAST features that are available in the WebInspect 21.2.0.117 patch or later.

關于蘇州華克斯信息科技有限公司

聯系方式：400-028-4008

                0512-62382981

專業的測試及安全産品服務提供商

Fortify | Webinspect | AppScan | SonarQube 

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）鉑金合作夥伴

SonarQube中國(guó)總代理

HCL中國(guó)合作夥伴

極狐GiLab鉑金級合作夥伴