Fortify软件安全内容 2022 更新 3

关于 CyberRes Fortify 软件安全研究

Fortify 软件安全研究团队将前沿研究转化为为 Fortify 产品组合（包括 Fortify 静态代码分析器 (SCA) 和 Fortify WebInspect）提供支持的安全情报。如今，Fortify Software Security Content 支持 30 种语言的 1,244 个漏洞类别，并跨越超过一百万个单独的 API。

Fortify Software Security Research (SSR) 很高兴地宣布 Fortify 安全编码规则包（英语，版本 2022.3.0）、Fortify WebInspect SecureBase（可通过 SmartUpdate 获得）和 Fortify 高级内容的更新立即可用。

[WebInspect]

Fortify SecureBase 结合了对数千个漏洞的检查与指导用户通过 SmartUpdate 立即获得以下更新的策略：

漏洞支持

不安全的部署：未打补丁的应用程序

dotCMS 是一种内容管理系统，它提供了在一个集中位置创建和重用内容、图像和资产的能力。ContentResource API 易受 CVE-2022-26352 标识的远程代码执行 (RCE) 漏洞的影响。用于存储内容的文件名是根据多部分请求中提供的用户输入构造的，并且不会被 dotCMS 清理。它使攻击者能够在系统上上传任意文件，从而导致 RCE。此版本包括在运行受影响的 dotCMS 版本的目标服务器上检测此漏洞的检查。

不安全的部署：未打补丁的应用程序

Apache APISIX 是一个开源 API 网关，提供负载均衡、动态上游等流量管理功能。此 API 网关易受 CVE-2022-24112 标识的 RCE 漏洞的影响。攻击者可以通过批处理请求插件绕过 Apache APISIX 的 IP 限制。如果 APISIX 使用默认的 Admin 密钥，并且启用了 Admin API 并且没有分配自定义管理端口，则攻击者可以通过批处理请求插件调用 Admin API，从而导致 RCE。此版本包括在运行受影响的 Apache APISIX 版本的目标服务器上检测此漏洞的检查。

动态代码评估：JNDI 参考注入^[3]

Java 命名和目录接口 (JNDI) 是一种 Java API，它使客户端能够按名称发现和查找数据和对象。这些对象可以通过不同的命名或目录服务进行存储和检索，例如远程方法调用 (RMI)、通用对象请求代理体系结构 (CORBA)、轻量级目录访问协议 (LDAP) 或域名服务 (DNS)。如果攻击者获得对 JNDI 查找操作参数的控制，他们可以将查找指向他们控制下的命名或目录服务，并返回使用远程工厂进行对象实例化的 JNDI 引用。这种攻击可以在执行查找操作的目标服务器上执行任意远程代码。此版本包括一项检查以检测目标 Web 服务器上的此漏洞。

动态代码评估：不安全的反序列化^[3]

CVE-2022-21445 在 Oracle 融合中间件 12.2.1.3.0 和 12.2.1.4.0 版本的 ADF Faces 组件中发现了一个预授权不安全的 Java 反序列化漏洞。它影响所有依赖 ADF Faces 组件的应用程序，包括商业智能、企业管理器、身份管理、SOA 套件、WebCenter 门户、应用程序测试套件和运输管理。此问题使攻击者能够在服务器上执行任意代码、滥用应用程序逻辑或发起拒绝服务 (DoS) 攻击。此版本包括一项检查以检测目标 Web 服务器上的此漏洞。

合规报告

2022 CWE 前 25 名

通用弱点枚举 (CWE ) 前 25 个最危险的软件弱点（CWE Top 25）于 2019 年推出，取代了 SANS Top 25。2022 CWE Top 25 于 6 月发布，使用启发式公式确定过去两年向国家漏洞数据库 (NVD) 报告的漏洞。此 SecureBase 更新包括直接映射到由 CWE Top 25 标识的类别或通过“ChildOf”关系与 Top 25 中的 CWE-ID 相关的 CWE-ID 的检查。

政策更新

2022 CWE 前 25 名

WebInspect SecureBase 支持策略列表中添加了一项自定义策略，以包括与 2022 CWE Top 25 相关的检查。

其他勘误表

在此版本中，已投入资源以进一步减少误报数量并提高客户审核问题的能力。客户还可以期望看到与以下相关的报告结果的变化：

动态代码评估：不安全的反序列化^[4]

由 ID 11504 标识的检查已修改为使用支持 OAST 功能的有效负载。改进此检查可减少误报并提高其结果的效率和准确性。

Fortify优质内容

研究团队在我们的核心安全情报产品之外构建、扩展和维护各种资源。

2022 CWE 前 25 名

为了配合新的关联，此版本还包含 Fortify 软件安全中心的新报告包，支持 2022 CWE Top 25，可从 Fortify 客户支持门户的高级内容下下载。

Fortify分类：软件安全错误

Fortify Taxonomy 站点包含对新添加的类别支持的描述，可在https://vulncat.fortify.com上找到。寻找具有最新支持更新的旧站点的客户可以从 Fortify 支持门户获取它。

[1] Requires Fortify Static Code Analyzer version 22.2.0 or later.
[2] Requires Fortify Static Code Analyzer version 22.2.0 or later.
[3] Requires OAST features that are available in the WebInspect 21.2.0.117 patch or later.
[4] Requires OAST features that are available in the WebInspect 21.2.0.117 patch or later.

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan | SonarQube 

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）铂金合作伙伴

SonarQube中国总代理

HCL中国合作伙伴

极狐GiLab铂金级合作伙伴