Fortify软件安全内容 2022 更新 2

关于 CyberRes Fortify 软件安全研究

Fortify 软件安全研究团队将前沿研究转化为支持 Fortify 产品组合的安全情报，包括 Fortify 静态代码分析器 (SCA) 和 Fortify WebInspect。如今，Fortify Software Security Content 支持 30 种语言的 1,220 个漏洞类别，并跨越超过一百万个单独的 API。

Fortify 软件安全研究 (SSR) 很高兴地宣布 Fortify 安全编码规则包（英语，版本 2022.2.0）、Fortify WebInspect SecureBase（可通过 SmartUpdate 获得）和 Fortify 高级内容的更新立即可用。

Fortify安全编码规则包 [SCA]

在此版本中，Fortify 安全编码规则包可检测 30 种编程语言中的 1,000 个独特类别的漏洞，并跨越超过一百万个单独的 API。总之，此版本包括以下内容：

.NET 改进（支持的版本：6.0）

.NET 是一个通用编程平台，它使程序员能够使用 C# 和 VB.NET 等语言编写代码，并使用一组标准化的 API。此版本将我们的覆盖范围扩大到最新版本的 .NET 以改进数据流，并扩大以下类别的 API 覆盖范围：

Access Control: Database

Path Manipulation

Privacy Violation

Server-Side Request Forgery

SQL Injection

System Information Leak: External

Weak Cryptographic Hash: Insecure PBE Iteration Count

Weak Encryption: Insecure Mode of Operation

ASP.NET Core 改进（支持的版本：6.0）

ASP.NET Core 是用于 .NET 的旗舰 Web 框架。该框架包括创建多种类型应用程序的功能，包括 MVC Web 应用程序和 Web API。此版本将我们的覆盖范围扩大到最新版本的 ASP.NET Core，包括最少的 API，并扩展了我们支持的类别，包括：

 

.NET Attribute Misuse: Authorization Bypass

 

ASP.NET Bad Practices: Compression Over Encrypted WebSocket Connection

 

ASP.NET Middleware Out of Order: Default Cookie Configuration

 

ASP.NET Middleware Out of Order: Insecure Transport

 

ASP.NET Middleware Out of Order: Insufficient Logging

 

ASP.NET Misconfiguration: Insecure Transport

 

Cookie Security: Missing SameSite Attribute

 

Cookie Security: Overly Permissive SameSite Attribute

 

弱加密实现

心理签名 (CVE-2022-21449) 是椭圆曲线数字签名算法 (ECDSA) 的 Java 实现中的一个弱点。此弱点允许攻击者强制应用程序接受全零数字签名为有效。易受攻击的 Java 版本包括：15、16、17 和 18。如果使用易受攻击的 Java 版本，攻击者可以伪造某些类型的 SSL 证书、签名的 JSON Web 令牌，甚至是 WebAuthn 身份验证消息。此版本增加了对报告Java 中的弱加密实现的支持。

Jakarta EE 支持（支持的版本：9.0.0）

Jakarta EE 以用于开发云原生 Java 应用程序的开源框架的形式提供了供应商中立的、开放的、全面的规范集。它以前被称为 Java EE（或 J2EE），它是最知名的服务器端 Java 框架之一。此版本增加了对现有 Java EE 覆盖范围的改进，涵盖 52 个弱点类别。

秘密扫描改进

秘密扫描是一种在源代码和配置文件中搜索和检测秘密的技术。有时，包含密码或 API 令牌的配置文件可能会意外泄露到源代码存储库。此版本包括对常见密码哈希格式的支持。覆盖范围包括识别常见密码哈希格式和产品配置文件中的秘密，包括以下产品：OpenVPN、Windows 远程桌面、netrc、IntelliJ IDEA、DBeaver、FileZilla、Heroku 和 DigitalOcean doctl。

为以下类别提供了增强的覆盖范围：

Key Management: Empty Encryption Key

 

Key Management: Hardcoded Encryption Key

 

Key Management: Null Encryption Key

 

Password Management: Hardcoded Password

 

Password Management: Password in Configuration File

 

Password Management: Weak Cryptography

 

Express JS 改进（支持的版本：4.x）^[1]

Express 是一个使用 Node.js 构建 Web 应用程序的框架。它提供路由、错误处理、模板、中间件管理和 HTTP 相关实用程序的功能。

在此版本中，我们改进了对以下类别的 Express 4.x 的支持：

Cookie Security: Missing SameSite Attribute

 

Cookie Security: Overly Permissive SameSite Attribute

 

Insecure Transport

 

Path Manipulation

 

Privacy Violation

 

Process Control

 

Setting Manipulation

 

System Information Leak: External

 

JavaScript Handlebars（支持的版本：4.7.7）

Handlebars 是一个 JavaScript 库，旨在制作可重用的 Web 模板。这些模板是 HTML、文本和表达式的组合。表达式直接嵌入在 HTML 代码中，并充当要由代码插入的内容的占位符，从而使文档易于重用。

在此版本中，我们增加了对 Handlebars 4.7.7 的支持，改进了数据流覆盖范围，并扩展了以下类别的 API 覆盖范围：

Cross-Site Scripting: Handlebars Helper

 

Handlebars Misconfiguration: Escaping Disabled

 

Handlebars Misconfiguration: Prototypes Allowed

 

Log Forging

 

Log Forging (debug)

 

Privacy Violation

 

System Information Leak

 

Template Injection

 

JavaScript Mustache（支持的版本：4.2.0）

Mustache 是一个开源的无逻辑模板系统，它提供模板和视图作为创建动态模板的基础。模板包含演示格式和代码，而视图包含要包含在模板中的数据。

在此版本中，我们添加了对 Mustache 4.2.0 的支持，以识别模板注入的弱点。\

GraphQL.js（支持的版本：16.5.0）

GraphQL.js 是 GraphQL 的 JavaScript 参考实现，广泛用于 JavaScript 应用程序。此版本添加了初始 GraphQL 服务器支持，以检测 GraphQL API 中的以下弱点类别：

Cross-Site Scripting: Inter-Component Communication

 

Cross-Site Scripting: Persistent

 

Cross-Site Scripting: Poor Validation

 

Cross-Site Scripting: Reflected

 

GraphQL Bad Practices: Introspection Enabled

 

GraphQL Bad Practices: GraphiQL Enabled

 

Privacy Violation

 

System Information Leak: External

 

Graphene-Python（支持的版本：3.0.0）

Python-Graphene 是用于 Python 应用程序的流行 GraphQL 服务器框架。此版本改进了我们从 2022.1.0 开始的 GraphQL 服务器支持，以检测 GraphQL API 中的以下弱点类别：

Cross-Site Scripting: Inter-Component Communication

 

Cross-Site Scripting: Persistent

 

Cross-Site Scripting: Poor Validation

 

Cross-Site Scripting: Reflected

 

Privacy Violation

 

System Information Leak: External

 

云基础设施即代码

基础设施即代码 (IaC) 是通过代码而不是各种手动过程来管理和供应计算机资源的过程。此版本增加了对 IaC 的扩展支持。支持的技术包括用于部署到 Azure 和 AWS 的 Ansible 配置以及用于部署到 Azure 和 GCP 的 Terraform 配置。现在向开发人员报告与上述服务配置相关的常见问题。

Terraform 配置：Terraform 是一种开源基础设施即代码工具，用于构建、更改和控制云基础设施。它使用自己的声明性语言，称为 HashiCorp 配置语言 (HCL)。云基础设施被编入配置文件以描述所需的状态。

Terraform 提供程序支持Microsoft Azure基础架构的配置和管理。在此版本中，我们报告了 Microsoft Azure 服务 Terraform 配置的以下类别：

Azure Terraform 配置错误：不安全的应用服务传输

 

Azure Terraform 配置错误：不安全的 CDN 终结点传输

 

Azure Terraform 配置错误：不安全的函数应用程序传输

 

Azure Terraform 配置错误：不安全的逻辑应用程序传输

 

Azure Terraform 配置错误：不安全的 MariaDB 传输

 

Azure Terraform 配置错误：不安全的 MySQL 传输

 

Azure Terraform 配置错误：不安全的网络监视器传输

 

Azure Terraform 配置错误：不安全的 PostgresSQL 传输

 

Azure Terraform 配置错误：不安全的 Redis 缓存传输

 

Azure Terraform 配置错误：不安全的 Spring Cloud Redis 传输

 

Azure Terraform 配置错误：不安全的 Spring Cloud 传输

 

Azure Terraform 配置错误：不安全的存储帐户传输

 

Terraform 提供程序支持Google Cloud Platform (GCP)基础架构的配置和管理。在此版本中，我们报告了 Google Cloud Platform Terraform 配置的以下类别：

GCP Terraform 不良做法：过于宽松的服务帐户

 

GCP Terraform 配置错误：BigQuery 数据集可公开访问

 

GCP Terraform 配置错误：Cloud DNS DNSSEC 已禁用

 

GCP Terraform 配置错误：Cloud KMS CryptoKey 可公开访问

 

GCP Terraform 配置错误：Cloud SQL 备份已禁用

 

GCP Terraform 配置错误：可公开访问的云存储桶

 

GCP Terraform 配置错误：计算引擎访问控制

 

GCP Terraform 配置错误：Compute Engine 默认服务帐号

 

GCP Terraform 配置错误：Compute Engine 项目范围的 SSH

 

GCP Terraform 配置错误：Google 项目网络访问控制

 

GCP Terraform 配置错误：不安全的 Cloud SQL 传输

 

GCP Terraform 配置错误：不安全的负载均衡器传输

 

GCP Terraform 配置错误：云存储桶日志记录不足

 

GCP Terraform 配置错误：GKE 集群日志记录不足

 

GCP Terraform 配置错误：GKE 集群监控不足

 

GCP Terraform 配置错误：VPC 流日志记录不足

 

GCP Terraform 配置错误：GKE 集群管理界面访问控制

 

GCP Terraform 配置错误：基于 GKE 集群证书的身份验证

 

GCP Terraform 配置错误：GKE 集群旧版授权

 

GCP Terraform 配置错误：GKE 集群 HTTP 基本身份验证

 

GCP Terraform 配置错误：未使用 GKE     Container-Optimized OS

 

GCP Terraform 配置错误：GKE 节点自动升级已禁用

 

GCP Terraform 配置错误：弱加密云 DNS 签名

 

GCP Terraform 配置错误：GKE 集群网络管理薄弱

 

GCP Terraform 错误配置：弱密钥管理

 

Ansible 配置：Ansible 是一个开源自动化工具，可为各种环境提供配置管理、应用程序部署、云供应和节点编排。

Ansible 包括支持配置和管理Amazon Web Services (AWS)的模块。在此版本中，我们报告了 AWS Ansible 配置的以下类别：

AWS Ansible 错误配置：Amazon RDS 可公开访问

 

AWS Ansible 错误配置：不安全的 CloudFront 分配传输

 

AWS Ansible 配置错误：CloudTrail 日志记录不足

 

Ansible 还包括支持Microsoft Azure 云计算服务的配置和管理的模块。在此版本中，我们报告了 Microsoft Azure Ansible 配置的以下类别：

Azure Ansible 错误配置：过于宽松的 Azure SQL 数据库防火墙

 

其他勘误表

在此版本中，我们继续投入资源以确保我们可以减少误报问题的数量并提高客户审核问题的能力。客户还可以期望看到与以下相关的已报告问题的变化：

Log4j（支持的版本：2.17）

对 Log4j 的支持现在包括检测新类别拒绝服务：堆栈耗尽。

Oslo.config（支持的版本：8.8.0）

对 Python 的 oslo.config 的初始支持包括检测新类别Privacy Violation: Unobfuscated Logging。

Objective-C 错误修复和性能改进

使用 2022R1 规则包扫描包含 Objective-C 文件的项目的客户可能会遇到以下问题：

在扫描阶段，“[error] Unexpected     exception during dataflow analysis...”形式的错误消息可能会出现在 SCA 输出或日志文件中

 

数据流分析中的扫描时间异常长，可能导致数据流丢失问题

 

向受影响的客户提供了一个 Objective-C 修补程序规则包来解决这些问题。此官方 R2 版本中包含相同的修复程序。使用修补程序规则包的客户应在更新到 R2 版本规则包时删除修补程序规则包。

误报改进：

继续努力消除此版本中的误报。除了其他改进之外，客户还可以期望在以下方面进一步消除误报：

 

SQL 注入：iBatis 数据映射- 遇到文字“$”字符时防止误报

 

密码管理：配置文件中的密码- 当值是变量占位符时防止误报

 

NET MVC 不良做法：具有必需的不可为空属性的模型- 使用 [BindRequired] 属性时，在 C# ASP.NET 应用程序中防止误报

 

经常被误用：身份验证- Java 应用程序中的误报减少

 

XSS：内容嗅探- Java Spring 应用程序中的误报减少

 

隐私违规- .NET 应用程序中的误报减少

 

SOQL 注入和SOSL 注入- 语义分析器发现的问题现在将以低强化优先级顺序报告

 

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 结合了对数千个漏洞的检查与指导用户通过 SmartUpdate 立即获得以下更新的策略：

漏洞支持

OGNL 表达式注入：双重评估

CVE-2022-26134 发现的一个严重的 OGNL 表达式注入漏洞会影响 Atlassian Confluence Server 和 Data Center。此漏洞允许未经身份验证的攻击者在易受攻击的应用程序上执行任意代码。Confluence Server 和 Data Center 受影响的版本是从 1.3.0 到 7.4.16，从 7.13.0 到 7.13.6，从 7.14.0 到 7.14.2，从 7.15.0 到 7.15.1，从 7.16.0到 7.16.3、从 7.17.0 到 7.17.3 和 7.18.0。此版本包括一项检查，以检测受影响的 Confluence 和数据中心服务器中的此漏洞。

动态代码评估：代码注入

已发现 Pivotal 的 Spring Framework 容易受到 CVE-2022-22965 标识的远程代码执行 (RCE) 漏洞的攻击。远程攻击者可以提供可导致任意代码执行的特制请求参数。此版本包括一项检查，以检测受影响 Spring Framework 版本的 Web 应用程序中的此漏洞。

不安全的部署：OpenSSL

OpenSSL 是一种广泛用于支持 SSL/TLS 连接的流行加密库，已被发现容易受到 CVE-2022-0778 识别的拒绝服务 (DoS) 漏洞的攻击。通过制作具有无效显式椭圆曲线参数的证书，可以在受影响的系统上触发无限循环 DoS。此版本包括检测目标 Web 服务器上的 CVE-2022-0778 漏洞的检查。由于此检查有可能在受影响的系统上导致 DoS 条件导致其无法提供服务，因此此检查不包含在标准策略中。使用“所有检查”策略、自定义现有策略以包含检查，或创建自定义策略来运行此检查。

其他勘误表

在此版本中，我们继续投入资源以减少误报的数量并提高客户审核问题的能力。客户还可以期望看到与以下相关的报告结果的变化：

密码管理：弱密码策略

此版本包括对密码策略检查的细微改进，当输入类型为文本框时，密码/用户名字段的识别精度更高。

Fortify优质内容

研究团队在我们的核心安全情报产品之外构建、扩展和维护各种资源。

强化分类：软件安全错误

Fortify Taxonomy 站点包含对新添加的类别支持的描述，可在网站上找到。寻找具有最新支持更新的旧站点的客户可以从 Fortify 支持门户获取它。

联系 Fortify 技术支持

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan

SonarQube | 极狐GitLab 

LoadRunner | UFT（QTP) | ALM（QC）

 

Micro Focus 铂金合作伙伴

SonarQube中国总代理

极狐GitLab铂金级合伙伴

HCL中国合作伙伴