Fortify软件安全内容 2024 更新 1

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持——包括 OpenText Fortify 静态代码分析器 （SCA） 和 OpenText Fortify WebInspect。如今，Fortify 软件安全内容支持 33+ 种语言的 1,654 个漏洞类别，涵盖超过 100 万个单独的 API。

Fortify 软件安全研究 （SSR） 很高兴地宣布立即推出 Fortify 安全编码规则包（英语，版本 2024.1.0）、Fortify WebInspect SecureBase（可通过 SmartUpdate 获得）和 Fortify 高级内容的更新。

Fortify 安全编码规则包 [Fortify Static Code Analyzer]

在此版本中，Fortify 安全编码规则包可检测 1,429 种不同类别的漏洞，涵盖 33+ 种语言，涵盖超过 100 万个单独的 API。总之，此版本包括以下内容：

改进了对 Angular 的支持（支持的版本：16.0.0）     
Angular 是一个基于打字稿的免费开源 Web 应用程序开发框架，专门用于创建 SPA（单页应用程序），主要用于前端动态高效地操作数据。对 Angular 的支持从版本 11.2.4 扩展到 Angular 16.0.0（仅限初始支持）。Angular 结果已得到增强，因此客户可以期待围绕跨站点请求伪造、侵犯隐私和系统信息泄漏等类别获得更好的结果。扩大了 JavaScript DOM 文档以及以下模块的覆盖范围： 

·@angular/common/http

·@angular/core

·@angular/platform-browser

改进了对 PHP 的支持（支持的版本：8.2）     
PHP 是一种广泛使用的通用脚本语言，最常用于 Web 开发。最新的 SSR 版本将对 PHP 的支持更新到了 8.2 版。具体而言，该版本包括对以下其他 PHP 基础扩展的初始支持：

·Sodium (支持的版本: 8.3.1)

PHP Sodium 扩展是 Libsodium 库的实现。Sodium 提供加密、解密、签名、密码哈希和其他加密操作的功能。客户可能会发现与加密和数字签名相关的其他问题，以及有关侵犯隐私问题的更改。

·Zip（支持的版本：1.22.3）

PHP Zip扩展是Libzip库的实现。Zip 提供了创建、修改和读取 zip 存档的功能，zip 存档是用于完成文件/数据分组和压缩的通用结构。该扩展的初始支持包括特定于基本文件系统数据流的 ZipArchive 类的覆盖范围，以及以下类别的 PHP 覆盖范围的扩展：

·Key Management: Empty PBE Password

·Path Manipulation: Zip Entry Overwrite

改进了对 Golang 的支持（支持的版本：1.21）[1]      
Go，也称为 Golang，是在 Google 创建的一种编译的静态类型编程语言。它以其简单、高效和对并发的强大支持而闻名，使其成为构建可扩展的 Web 服务、数据管道和分布式系统的理想选择。Go 将编译语言的性能优势与解释语言的编程便利性相结合。其简洁的语法和强大的标准库使开发人员能够快速编写健壮的代码。以下套餐的覆盖范围扩大： 

·context

·crypto/ecdh

·html/template

·net

·reflect

·Runtime

·time

云基础架构即代码 （IaC）[2]      
扩展了对云基础架构即代码的支持。基础结构即代码是通过代码管理和设置计算机资源的过程，而不是各种手动过程。与上述这些服务的配置相关的常见问题现在已报告给开发人员。从 Fortify Static Code Analyzer 24.2 开始，使用新技术报告了 Azure ARM 和 AWS CloudFormation 配置问题。这会导致在合并使用以前版本的 Fortify Static Code Analyzer 生成的 FPR 时添加和删除一系列问题。使用 Fortify Static Code Analyzer 24.2 及更高版本，需要 2024.1 规则包来防止重复的 IaC 问题。

Azure 资源管理器 （ARM） 配置     
ARM 是 Azure 的部署和管理服务。ARM 提供了一个管理层，可用于创建、更新和删除 Azure 帐户中的资源。

Amazon Web Services （AWS） CloudFormation 配置     
CloudFormation 是 Amazon 提供的一项服务，用于自动预置和配置 AWS 资源。CloudFormation 使用户能够使用 JSON 或 YAML 模板管理 AWS 资源。利用这些模板，用户可以创建、删除和修改资源集合（称为堆栈），作为一个单元。在此版本中，我们报告了 AWS CloudFormation 配置的以下其他弱点类别： 

·AWS CloudFormation 配置错误：不安全的 SageMaker 传输

·AWS CloudFormation 配置错误：禁用 SageMaker 网络隔离

·AWS CloudFormation 配置错误：SecretsManager 生成的密码较弱

改进了 Kotlin 支持（支持的版本：1.9.2）[3]      
Kotlin 是一种通用的静态类型语言，具有 Java 互操作性。此版本更新了对 Kotlin 1.7.2、1.8 和 1.9 中引入的面向 Kotlin 命名空间的新标准库 API 的支持：jvm.optional、math、io.path、coroutines.cancellation和kotlinx.serialization.json。可能会在现有类别中检测到其他问题，包括：

·拒绝服务：正则表达式

·路径操作

·侵犯隐私

·系统信息泄露

JavaScript/TypeScript Node.js改进[4]      
我们的Node.js规则已更新，以便在使用 Fortify Static Code Analyzer 24.2 时受益于类型解析。这些更改可减少误报，提高真阳性率，并在大多数类别的Node.js应用程序中获得更准确的结果。更具体地说，客户可以期待与以下Node.js模块相关的改进结果： 

·child_process

·dgram

·dns

·fs

·http

·https

·net

·querystring

·tls

·url

·util

·v8

还包括对以下 NPM 包的初始部分支持：

·Bluebird

·child-process-promise

改进的 DISA STIG 5.3 支持    
为了在合规性领域为我们的联邦客户提供支持，Fortify 分类法与国防信息系统局 （DISA） 应用程序安全和开发 STIG 版本 5.3 的相关性已更新，以包括以下 45 个附加 STIG ID：APSC-DV-000010、APSC-DV-000210、APSC-DV-000230、APSC-DV-000240、APSC-DV-000330、APSC-DV-000380、APSC-DV-000390、APSC-DV-000400、APSC-DV-000410、APSC-DV-000430、APSC-DV-000450、 APSC-DV-000580、APSC-DV-000590、APSC-DV-000710、APSC-DV-001120、APSC-DV-001130、APSC-DV-001280、APSC-DV-001290、APSC-DV-001300、APSC-DV-001310、APSC-DV-001320、APSC-DV-001330、APSC-DV-001410、APSC-DV-001520、APSC-DV-001530、APSC-DV-001540、APSC-DV-001540、APSC-DV-001540、APSC-DV-001540、APSC-DV-001540、APSC-DV-001540、APSC-DV-001540、APSC-DV-00130、APSC-DV-001330、APSC-DV-001330、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001540、APSC-DV-001330、APSC-DV-001330、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001320、APSC-DV-001540、APSC-DV-001330、APSC-DV-001330、APSC-DV-0sc-DV-001610， APSC-DV-001760， APSC-DV-001770， APSC-DV-001780， APSC-DV-001790， APSC-DV-001795， APSC-DV-001820， APSC-DV-001970， APSC-DV-002290， APSC-DV-002310， APSC-DV-002320， APSC-DV-002410， APSC-DV-002530， APSC-DV-002890， APSC-DV-002950，APSC-DV-002960、APSC-DV-003100、APSC-DV-003310 和 APSC-DV-003320。 

其他勘误表

在此版本中，我们投入了资源来确保我们能够减少误报问题的数量，重构一致性，并提高客户审核问题的能力。客户还可以期望看到与以下内容相关的报告问题的变化： 

减少误报和其他显著的检测改进     
在此版本中，继续努力消除误报。客户可以期待进一步消除误报，以及与以下方面相关的其他显著改进：

·访问控制：匿名 LDAP 绑定 –在 C/C++ 应用程序中消除误报

·命令注入–在使用 C 运行时库函数的 Windows 变体的 C/C++ 应用程序中检测到的新问题

·凭据管理：硬编码的 API 凭据 –在 YAML 文件中删除误报

·Dockerfile 错误配置：依赖关系混淆–在涉及 npm 的 Dockerfile 中删除了误报

·动态代码评估：代码注入-在使用 Azure Cosmos DB API 的 ASP.NET 应用程序中检测到的新问题

·GCP Terraform 配置错误：供应链不安全–在 AWS Terraform 配置文件中删除了误报

·不安全的 SSL：服务器身份验证已禁用–在使用“请求”库的 Python 应用程序中检测到新问题

·批量分配：不安全的活页夹配置–在 ASP.NET MVC 应用程序中删除了误报

·批量赋值：请求绑定到持久化对象中的参数–从 Spring 应用程序中删除误报

·密码管理：硬编码密码–在 ODBC 连接字符串中检测到的新问题

·糟糕的风格：标识符包含美元符号 （$）–Java 应用程序中移除的误报

·侵犯隐私–在使用 Razor Pages 的 ASP.NET 应用程序中检测到的新问题

·侵犯隐私–在 Dart/Flutter 应用程序中检测到新问题

·侵犯隐私–在使用“csurf”中间件和 ExpressJS 库的 JavaScript 应用程序中检测到新问题 

·字符串终止错误–在 C/C++ 应用程序中检测到的新问题

·系统信息泄漏：外部–在使用 Razor Pages 的 ASP.NET 应用程序中检测到新问题

·系统信息泄漏：外部–在 C/C++ 应用程序中检测到新问题

·弱加密：RSA 填充不足–在使用 OpenSSL 的 PHP 应用程序中移除了误报

·在 Python Django 应用程序中删除了各种数据流误报

·在 Java Spring 应用程序中检测到各种新的数据流问题

·在 Java 扫描中，从 main（） 入口点出现的各种数据流问题可能会显示为新的和已删除的。这还可以删除在 Kotlin 和 Scala 应用程序中发现的重复和不正确的跟踪。

类别名称更改     
当弱点类别名称发生更改时，将先前扫描的分析结果与新扫描合并可能会导致添加/删除类别。

为了提高一致性，已重命名以下四个类别：

弃用“已禁用标头检查”类别     
该类别已被删除，以避免与其他类似名称的类别混淆。此类别中的先前规则现在报告在：

·NET 配置错误：标头检查已禁用

·NET 配置错误：不安全的标头分析

弃用某些“死代码”类别     
以下“死代码”类别已从标准规则包中删除：

·死代码：空尝试块

·死代码：表达式始终为 false

·死代码：表达式始终为真

·死代码：未使用的字段

·死代码：未使用的方法

·失效代码：未使用的参数

对于希望继续查看检测到的这些漏洞的客户，可以从 Fortify 支持门户的单独规则包中下载这些规则。 

2023年 OWASP 移动 Top 10 的重命名和弃用

继 2023 年 9 月发布“OWASP 移动 10 大风险 – 2023 年初始版本”后，该项目于 2024 年 1 月完成并更名为“OWASP 移动 10 大风险 – 2024 年最终版本”。因此，此版本包括“2024 年 OWASP 移动 10 大风险”的额外重命名映射。映射本身没有功能更改。

在下一版本的 Fortify 软件安全内容中，OWASP Mobile Top 10 2023 映射将被弃用，仅保留更新的 OWASP Mobile Top 10 2024。

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 将对数千个漏洞的检查与策略相结合，这些策略可指导客户使用 SmartUpdate 立即获得以下更新。

漏洞支持

不安全部署：未修补的应用程序 （CVE-2024-23897）     
Jenkins 是一个基于 Java 的自动化服务器，用于构建、测试和部署软件。Jenkins 命令行界面 （CLI） 是 Jenkins 的一项内置功能，它提供了一种与 Jenkins 服务器交互的方式，默认情况下处于启用状态。CVE-2024-23897 标识的一个严重文件读取漏洞允许在 Jenkins 中执行任意文件读取功能。此漏洞存在于 args4j 库中，该库用于分析提供给 CLI 的命令参数和选项。命令解析器具有一项功能，该功能将参数中后跟文件路径的 at 符号 （@） 字符替换为指定文件的内容。受影响的 Jenkins 版本包括 2.441 及更早版本以及 LTS 2.426.2 及更早版本。此版本包括在目标服务器上检测 CVE-2024-23897 的检查。 

不安全部署：未修补的应用程序 （CVE-2023-22515）     
Atlassian Confluence Data Center 和 Confluence Server 是自我管理的解决方案，以为组织提供协作最佳实践而闻名。CVE-2023-22515 发现的一个严重访问控制漏洞允许恶意行为者创建未经授权的管理员帐户，从而授予他们对 Confluence 平台的无限制访问权限。即使攻击者缺乏身份验证，他们也可以利用 CVE-2023-22515 建立未经授权的管理员帐户并访问 Confluence 实例。攻击者还可以操纵 Confluence 服务器设置，以表明设置过程尚未完成。受影响的 Confluence Server 和 Confluence Data Center 版本为 8.0.0-8.0.4、8.1.0-8.1.4、8.2.0-8.2.3、8.3.0-8.3.2、8.4.0-8.4.2 和 8.5.0-8.5.1。此版本包括在目标服务器上检测 CVE-2023-22515 的检查。

不安全的部署：未修补的应用程序 （CVE-2023-22518）     
CVE-2023-22518 发现的严重不当授权漏洞影响了 Atlassian Confluence Data Center 和 Confluence Server。此漏洞允许未经身份验证的攻击者重置 Confluence 并创建 Confluence 实例管理员帐户。使用此帐户，攻击者可以执行 Confluence 实例管理员可用的所有管理操作，从而导致机密性、完整性和可用性完全丧失。受影响的 Confluence Server 和 Confluence Data Center 版本均低于 7.19.16 以及版本 8.3.4、8.4.4、8.5.3 和 8.6.1。此版本包括在目标服务器上检测 CVE-2023-22518 的检查。 

OGNL 表达式注入：双重评估 （CVE-2023-22527）     
CVE-2023-22527 发现的一个严重 OGNL 表达式注入漏洞会影响 Atlassian Confluence Server and Data Center。此漏洞允许未经身份验证的攻击者在易受攻击的应用程序上执行任意代码。受影响的 Confluence Data Center 和 Confluence Server 版本为 8.0.x、8.1.x、8.2.x、8.3.x、8.4.x 和 8.5.0-8.5.3。此版本包括一项检查，用于在受影响的 Atlassian 服务器中检测此漏洞。

合规报告

改进的 DISA STIG 5.3     
为了在合规性领域为我们的联邦客户提供支持，Fortify 分类法与国防信息系统局 （DISA） 应用程序安全和开发 STIG 版本 5.3 的关联已更新，以包括以下 8 个额外的 STIG ID：APSC-DV-000210、APSC-DV-000230、APSC-DV-000240、APSC-DV-000450、APSC-DV-001280、APSC-DV-001300、APSC-DV-002530 和 APSC-DV-003320。

政策更新

改进的 DISA STIG 5.3     
更新了DISA STIG 5.3 政策，以包括与 DISA STIG 5.3 相关的其他检查。

其他勘误表

在此版本中，我们投入了资源来进一步减少误报的数量，并提高客户审核问题的能力。客户还可以期望看到与以下领域相关的报告结果的变化。    
    
XPath 注入     
此版本包括对XPath 注入检查的改进，以减少误报并提高结果的准确性。 

强化优质内容

研究团队在我们的核心安全情报产品之外构建、扩展和维护各种资源。

OWASP Mobile Top 10 Risks 2024

为了配合更名后的 OWASP Mobile Top 10 Risks 2024 相关性，此版本还包含一个新的报告包 OpenText支持 OWASP Mobile Top 10 2024 的 Fortify 软件安全中心，可从 Fortify 客户支持门户的高级内容下下载。

Fortify Taxonomy：软件安全错误     
Fortify Taxonomy 网站包含新添加的类别支持的描述，可在Fortify网站上获得。

[1]为获得最佳效果，请升级至 Fortify Static Code Analyzer 24.2 或更高版本。    
[2]需要 Fortify Static Code Analyzer 24.2 或更高版本。    
[3]Kotlin 1.9 支持需要 Fortify Static Code Analyzer 24.2 或更高版本。    
[4]需要 Fortify Static Code Analyzer 24.2 或更高版本。