Fortify 軟件安全内容 2023 更新 4

關于 OpenText Fortify 軟件安全研究

Fortify 軟件安全研究團隊將(jiāng)前沿研究轉化爲安全情報，爲 Fortify 産品組合提供支持——包括 OpenText系列Fortify 靜态代碼分析器（SCA）和WebInspect。如今，Fortify 軟件安全内容支持 33+ 種(zhǒng)語言的 1,657 個漏洞類别，涵蓋超過(guò) 100 萬個單獨的 API。

Fortify Software Security Research （SSR） 很高興地宣布立即推出 Fortify Secure Coding Rulepacks（英語，版本 2023.4.0）、Fortify WebInspect SecureBase（通過(guò) SmartUpdate 提供）和 Fortify Premium Content 的更新。

Fortify 安全編碼規則包 [FortifySCA]

在此版本中，Fortify Secure Coding Rulepack 可檢測 33+ 種(zhǒng)語言的 1,432 個獨特類别的漏洞，并涵蓋超過(guò) 100 萬個單獨的 API。

總之，此版本包括以下内容：

改進(jìn)了對(duì) Python 的支持（支持的版本：3.12）    
Python 是一種(zhǒng)通用的、功能(néng)強大的編程語言，具有動态類型和高效的高級數據結構。它支持多種(zhǒng)編程範式，包括結構化、面(miàn)向(xiàng)對(duì)象和函數式編程。此版本將(jiāng)我們的覆蓋範圍擴大到最新版本的 Python，擴展了我們對(duì) Python 标準庫 API 更改的支持。更新了以下模塊的現有規則覆蓋範圍：

·os

·pathlib

·tomllib 

改進(jìn)了對(duì) Django 的支持（支持的版本：4.2）    
Django 是一個用 Python 編寫的 Web 框架，旨在促進(jìn)安全和快速的 Web 開(kāi)發(fā)。通過(guò)框架中的高度抽象來實現開(kāi)發(fā)的速度和安全性，其中代碼構造和生成(chéng)用于大幅減少樣闆代碼。在此版本中，我們更新了現有的 Django 覆蓋範圍以支持以下版本：4.0、4.1 和 4.2。

改進(jìn)的覆蓋範圍包括以下命名空間：asyncio、django.core.cache.backends.base.BaseCache、django.db.models.Model 和 django.middleware.security.SecurityMiddleware。此外，我們還(hái)改進(jìn)了弱點類别的覆蓋範圍，其中包括以下内容：

·Header Manipulation

·Insecure Cross-Origin Opener Policy

·Resource Injection

·Setting Manipulation

PyCryptodome 和 PyCrypto（支持的版本：3.19.0）    
PyCryptodome 是一個獨立的 Python 包，它提供了加密算法和協議的綜合集合。它是 PyCrypto 庫的擴展和更積極維護的版本。PyCryptodome 旨在提供廣泛的加密功能(néng)，使其成(chéng)爲需要在其 Python 應用程序中實現安全通信、數據保護和加密操作的開(kāi)發(fā)人員的多功能(néng)選擇。

弱點類别的初始覆蓋範圍包括以下内容：

·Key Management: Empty Encryption Key

·Key Management: Empty PBE Password

·Key Management: Hardcoded Encryption Key

·Key Management: Hardcoded HMAC Key

·Key Management: Hardcoded PBE Password 

·Key Management: Unencrypted Private Key

·Password Management: Hardcoded Password

·Password Management: Lack of Key Derivation Function

·Password Management: Password in Comment

·Weak Cryptographic Hash

·Weak Cryptographic Hash: Hardcoded PBE Salt

·Weak Cryptographic Hash: Insecure PBE Iteration Count

·Weak Cryptographic Hash: Predictable Salt

·Weak Cryptographic Signature: Insufficient Key Size

·Weak Encryption

·Weak Encryption: Insecure Initialization Vector

·Weak Encryption: Insecure Mode of Operation

·Weak Encryption: Insufficient Key Size

·Weak Encryption: Stream Cipher

·Weak Encryption: User-Controlled Key Size

檢測源自機器學(xué)習 （ML） 和人工智能(néng) （AI） 模型的風險

随著(zhe)生成(chéng)式人工智能(néng)和大型語言模型 （LLM） 的使用迅速改變了軟件行業的解決方案空間，新的風險也随之而來。最初的 Fortify 支持涵蓋使用 OpenAI API、Amazon Web Services （AWS） SageMaker 或 LangChain 的 Python 項目。支持可檢測因隐式信任來自 AI/ML 模型 API 的響應而導緻的弱點，以及以下獨特功能(néng)：

對(duì) Python OpenAI API 的初始支持（支持的版本：1.3.8）    
OpenAI Python 庫使開(kāi)發(fā)人員能(néng)夠方便地訪問 OpenAI REST API，以與 GPT-4 和 DALL-E 等 OpenAI 模型進(jìn)行交互。OpenAI API 使應用程序能(néng)夠向(xiàng) OpenAI 模型發(fā)送提示并接收生成(chéng)的響應以及微調現有模型。OpenAI Python 模塊支持發(fā)送和接收由httpx提供支持的異步和同步請求的能(néng)力。支持包括識别模型的潛在危險輸出以及以下新類别： 

·跨站點腳本：AI

對(duì) Python AWS SageMaker （Boto3） 的初始支持（支持的版本：1.33.9）    
AWS SageMaker 是 Amazon AWS 大型服務旗下的一項産品。AWS SageMaker 提供了廣泛的工具來支持各種(zhǒng) ML 項目，從訓練自定義模型到設置完整的 MLOps 支持的開(kāi)發(fā)管道(dào)。Amazon 的 Python 開(kāi)發(fā)工具包 （Boto3） 允許與各種(zhǒng) AWS 産品（包括 AWS SageMaker）進(jìn)行通信。支持包括識别模型的潛在危險輸出以及以下新類别：

·跨站點腳本：AI

對(duì) Python LangChain 的初始支持（支持的版本：0.0.338）^[1]      
LangChain是一個流行的開(kāi)源編排框架，用于使用大型語言模型（LLM）開(kāi)發(fā)應用程序。LangChain提供的工具和API可以更輕松地創建LLM驅動的應用程序，例如聊天機器人和虛拟代理。它們可作爲基于 Python 和 JavaScript 的庫使用。支持包括識别模型的潛在危險輸出、檢測路徑操作以及以下新類别：

·跨站點腳本：AI

.NET 8 支持（支持的版本：8.0.0）.NET 8 Support （version supported：8.0.0）    
作爲 .NET 7 的繼任者，.NET 8 是一個跨平台、免費和開(kāi)源的開(kāi)發(fā)框架，使程序員能(néng)夠使用一組标準化的 API 以不同的語言（如 C# 和 VB）編寫應用程序。此版本將(jiāng)我們的覆蓋範圍擴大到最新版本的 .NET，以改進(jìn)對(duì)新 API 和現有 API 的弱點的檢測。 

擴展的覆蓋範圍涵蓋以下命名空間：

·Collections.Frozen

·Net.Http.Json

·System

·Security

·Text

·Text.Unicode

·Net.Http

Java 簡化加密 （Jasypt）（支持的版本：1.9.3）    
Java 簡化加密 （Jasypt） 是一個小型 Java 庫，用于執行基于密碼的加密以及創建用于存儲的密碼摘要。它與流行的 Java 框架（如 Spring、Wicket 和 Hibernate）集成(chéng)。

弱點類别的初始覆蓋範圍包括以下内容：

·Insecure Randomness

·Key Management: Empty PBE Password

·Key Management: Hardcoded PBE Password

·Key Management: Null PBE Password

·Password Management: Lack of Key Derivation Function

·Privacy Violation: Heap Inspection

·Setting Manipulation

·Weak Cryptographic Hash

·Weak Cryptographic Hash: Empty PBE Salt

·Weak Cryptographic Hash: Hardcoded PBE Salt

·Weak Cryptographic Hash: Insecure PBE Iteration Count

·Weak Cryptographic Hash: User-Controlled PBE Salt

·Weak Encryption

·Weak Encryption: Insecure Mode of Operation 

ECMAScript 2023    
ECMAScript 2023，也稱爲 ES2023 或 ES14，是 JavaScript 語言的 ECMAScript 标準的最新版本。ES2023 的主要功能(néng)包括新的數組函數，允許通過(guò)複制和從末尾搜索來更改它們。對(duì) ES2023 的支持將(jiāng)所有相關 JavaScript 弱點類别的覆蓋範圍擴展到最新版本的 ECMAScript 标準。

原型污染    
原型污染是 JavaScript 應用程序中的一個漏洞，它使惡意用戶能(néng)夠繞過(guò)或影響業務邏輯，并可能(néng)運行自己的代碼。

此 Rulepack 更新可檢測攻擊者是否可以在以下 NPM 包中污染對(duì)象的原型：

·assign-deep

·deap

·deep-extend

·defaults-deep

·dot-prop

·hoek

·lodash

·merge

·merge-deep

·merge-objects

·merge-options

·merge-recursive

·mixin-deep

·object-path

·pathval

    
Kubernetes 配置    
Kubernetes 是一種(zhǒng)開(kāi)源容器管理解決方案，用于自動部署、擴展和管理容器化應用程序。它提供了以容器爲中心的基礎架構抽象，消除了對(duì)底層基礎架構的依賴，實現了可移植部署，并簡化了複雜分布式系統的管理。改進(jìn)的弱點類别覆蓋範圍包括： 

·Kubernetes 配置錯誤：API 服務器網絡訪問控制不當

·Kubernetes 配置錯誤：CronJob 訪問控制不當

·Kubernetes 配置錯誤：DaemonSet 訪問控制不當

·Kubernetes 配置錯誤：部署訪問控制不當

·Kubernetes 配置錯誤：作業訪問控制不當

·Kubernetes 配置錯誤：Pod 訪問控制不當

·Kubernetes 配置錯誤：RBAC 訪問控制不當

·Kubernetes 配置錯誤：不正确的 ReplicaSet 訪問控制

·Kubernetes 配置錯誤：不正确的複制控制器訪問控制

·Kubernetes 配置錯誤：有狀态副本集訪問控制不當

·Kubernetes 配置錯誤：不安全的機密傳輸

·Kubernetes 配置錯誤：Kubelet 日志記錄不足

·Kubernetes 配置錯誤：調度程序系統信息洩露

·Kubernetes 配置錯誤：不受控制的 Kubelet 資源消耗

·Kubernetes Terraform 配置錯誤：守護進(jìn)程設置訪問控制不當

·Kubernetes Terraform 配置錯誤：部署訪問控制不當

·Kubernetes Terraform 配置錯誤：作業訪問控制不當

·Kubernetes Terraform 配置錯誤：Pod 訪問控制不當

·Kubernetes Terraform 配置錯誤：Pod 網絡訪問控制不當

·Kubernetes Terraform 配置錯誤：RBAC 訪問控制不當 

·Kubernetes Terraform 配置錯誤：不正确的複制控制器訪問控制

·Kubernetes Terraform 配置錯誤：不正确的有狀态集訪問控制

·Kubernetes Terraform 配置錯誤：不安全的秘密傳輸

DISASTIG 5.3    
爲了在合規性領域支持我們的聯邦客戶，我們添加了 Fortify 分類法與美國(guó)國(guó)防信息系統局 （DISA） 應用程序安全和開(kāi)發(fā) STIG 版本 5.3 的關聯。

OWASP Mobile 2023 年 10 大風險

2023 年開(kāi)放全球應用安全項目 （OWASP） 移動十大風險旨在提高人們對(duì)移動安全風險的認識，并教育參與移動應用開(kāi)發(fā)和維護的人員。爲了支持希望降低 Web 應用程序風險的客戶，我們添加了 Fortify 分類法與 OWASP Mobile Top 10 2023 初始版本的相關性。

其他勘誤表    
在此版本中，我們投入了資源，以确保我們可以減少誤報問題的數量，重構一緻性，并提高客戶審核問題的能(néng)力。客戶還(hái)可以看到與以下内容相關的報告問題的更改：

棄用 20.x    
之前的 Fortify Static Code Analyzer 版本正如我們的 2023.3 版本公告中所述，這(zhè)是支持 20.x 之前的靜态代碼分析器版本的規則包的最後(hòu)一個版本。對(duì)于此版本，20.x 之前的靜态代碼分析器版本將(jiāng)不會(huì)加載規則包。這(zhè)將(jiāng)需要降級規則包或升級靜态代碼分析器的版本。對(duì)于將(jiāng)來的版本，我們將(jiāng)繼續支持 Static Code Analyzer 的最後(hòu)四個主要版本。 

減少誤報和其他顯著的檢測改進(jìn)    
我們一直在努力消除此版本中的誤報。客戶可以期待進(jìn)一步消除誤報，以及與以下方面(miàn)相關的其他顯著改進(jìn)：

·NET 配置錯誤：持久身份驗證 – 在使用表單身份驗證服務的 ASP.NET 應用程序中删除了誤報

·憑據管理：硬編碼的 API 憑據 –從與 HTTP 持有者令牌相關的機密掃描中删除誤報

·憑據管理：硬編碼的 API 憑據– 檢測到 Avature API 密鑰的新問題

·跨站點請求僞造– 在使用“Express.js”JavaScript 框架的 NodeJS應用程序中檢測到的新問題

·跨站點腳本– 在使用“html/template”包的 Go 應用程序中檢測到的新問題

·跨站點腳本：反映 –在使用“ListControl”類的 ASP.NET 應用程序中删除了誤報

·拒絕服務：格式字符串– 與 OWASP 前 10 個類别的映射不正确

·不安全的傳輸 –在與處理私有用戶數據的控制器方法相關的 ASP.NET 應用程序中删除了誤報

·不安全的傳輸：郵件傳輸 –從使用“smtplib.SMTP' 類

·密鑰管理：硬編碼加密密鑰 –在使用“RSAKeyGenParameterSpec”類的 Java 應用程序中删除了誤報

·鏈路注入：缺少驗證 –在使用“WKNavigationDelegate”協議的 Swift 和 Objective-C 應用程序中删除了誤報[2]

·批量分配：不安全的 Binder 配置 –從使用 Jakarta EE API 的 Java 應用程序中删除了誤報  

·密碼管理：配置文件中的密碼 –配置文件中删除了誤報

·路徑操作– 在文件上傳的 PHP 應用程序中檢測到的新問題

·SQL 注入– 在使用 marsdb 數據庫的 NodeJS 應用程序中檢測到的新問題

·SQL 注入：MyBatis Mapper – 在 MyBatis Mapper XML 文件中檢測到的新問題

·字符串終止錯誤– 在使用“printf（）”及其變體的 C/C++ 應用程序中删除了誤報

·系統信息洩漏：不完整的 Servlet 錯誤處理 –在 Java 應用程序中删除了誤報

·弱加密：不安全的初始化向(xiàng)量 –在使用“Pycryptodome”庫的 Python 應用程序中删除了誤報

·未發(fā)布的資源：流– 在使用“java.nio.file”API 的 Java 應用程序中識别的漏報

·Visualforce 應用程序中與用戶配置文件信息相關的各種(zhǒng)數據流誤報

類别名稱更改    
當弱點類别名稱發(fā)生更改時(shí)，將(jiāng)先前掃描的分析結果與新掃描合并可能(néng)會(huì)導緻添加/删除類别。

爲了提高一緻性，重命名了以下兩(liǎng)個類别：

已删除的類别	添加類别
Azure ARM 配置錯誤：DataBricks 存儲不安全	Azure ARM 配置錯誤：Databricks 存儲不安全
Azure ARM 配置錯誤：不安全的 Redis 企業傳輸	Azure ARM 配置錯誤：不安全的 Redis 傳輸

 

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 將(jiāng)對(duì)數千個漏洞的檢查與指導用戶通過(guò) SmartUpdate 立即獲得以下更新的策略相結合。

漏洞支持

訪問控制：管理界面(miàn)     
此版本包括一項檢查，用于在網關執行器端點啓用、公開(kāi)且不安全時(shí)檢測 Spring Cloud Gateway 的不安全配置。在這(zhè)種(zhǒng)情況下，攻擊者可以創建新路由并代表應用程序訪問内部或敏感資産。這(zhè)可能(néng)會(huì)導緻雲元數據密鑰被盜、内部應用程序洩露或拒絕服務 （DoS） 攻擊。

表達式語言注入：Spring     
Spring Cloud Gateway 版本 3.1.0、3.0.0 至 3.0.6 以及低于 3.0.0 的版本包含由 CVE-2022-22947 标識的安全漏洞。當網關執行器端點處于啓用、公開(kāi)且不安全狀态時(shí)，此漏洞允許代碼注入攻擊。此版本包括一項檢查，用于檢測使用受影響的 Spring Cloud Gateway 版本的目标服務器上是否存在此漏洞。

不安全的部署：未修補的應用程序     
TeamCity On-Premises 服務器版本 2023.05.3 及更早版本容易出現身份驗證繞過(guò)，這(zhè)使未經(jīng)身份驗證的攻擊者能(néng)夠在服務器上獲得遠程代碼執行 （RCE）。該漏洞已被CVE-2023-42793識别。此版本包括一項檢查，用于在目标服務器上檢測此漏洞。 

信息發(fā)現：未記錄的 API     
API 端點的未記錄或有限文檔可能(néng)會(huì)爲攻擊者提供未充分測試安全漏洞的攻擊面(miàn)。攻擊者可能(néng)會(huì)執行偵測以發(fā)現已棄用、未修補和未維護的終結點，從而訪問敏感信息或危險功能(néng)。此版本包括一項檢查，旨在發(fā)現可訪問但未在 API 規範文檔中定義的受版本控制的 API 端點。

合規報告

DISASTIG 5.3     
爲了支持我們的聯邦客戶合規性需求，此版本包含 WebInspect 檢查與最新版本的國(guó)防信息系統局應用程序安全和開(kāi)發(fā) （DISA） STIG 版本 5.3 的關聯。

政策更新

DISASTIG 5.3     
自定義策略以包含與 DISA STIG 5.3 相關的檢查，已添加到支持的策略的 WebInspect SecureBase 列表中。

其他勘誤表

在此版本中，我們投入了資源來進(jìn)一步減少誤報數量，并提高客戶審核問題的能(néng)力。客戶還(hái)可以看到與以下領域相關的報告結果的變化。    
    
不安全的傳輸：SSLv3/TLS 重新協商流     
TLS1.3 不支持重新協商。此版本包括對(duì)重新協商流注入檢查的改進(jìn)，以減少誤報并提高結果的準确性。 

HTML5：跨站點腳本保護     
X-XSS-Protection 标頭在所有現代浏覽器中均已棄用。在此版本中，我們棄用了缺失或錯誤配置的 X-XSS-Protection 标頭檢查。

Fortify 高級内容

研究團隊在我們的核心安全情報産品之外構建、擴展和維護各種(zhǒng)資源。

DISA STIG 5.3 和 OWASP Mobile Top 10 2023爲了配合新的相關性，此版本還(hái)包含一個新的報告包 OpenTextFortify 軟件安全中心支持 DISA STIG 5.3 和 OWASP Mobile Top 10 2023，可從 Fortify 客戶支持門戶的“高級内容”下下載。

Fortify 分類法：軟件安全錯誤     
Fortify 分類站點包含對(duì)新添加的類别支持的說(shuō)明，可在https://vulncat.fortify.com上找到。

[1]LangChain仍然很新。在生産使用之前，必須仔細考慮安全性。    
[2]需要 Fortify Source Code Analyzer 23.1 或更高版本

聯系 Fortify 客戶支持