CVE 漏洞问题
doufum opened this issue · 5 comments
CVE 问题
最近使用 RASP 做我们产品的安全加固,但是,安全扫描的时候,发现 rasp 本身也有不少致命的 CVE 问题。
作为攻击防御用的工具,本身的致命 CVE 问题,总觉得不应该。而且一些 CVE 是Critical 的。
扫描到的问题包括:
- log4j:log4j:1.2.17 (待升级)
- org.yaml:snakeyaml:1.23(待升级)
- 通过扫描 libopernrasp_v8_java.so 文件,发现的 openssl:1.1.1b 的很多 CVE 漏洞
CVE-2019-1543
CVE-2021-3712
CVE-2021-3711
CVE-2021-23840
CVE-2022-0778
CVE-2019-1549
CVE-2019-1547
CVE-2021-4160
CVE-2021-3449
CVE-2020-1971
CVE-2019-1551
CVE-2021-23841
CVE-2019-1563
CVE-2019-1552
请问一下,这块 CVE 的漏洞,是否有修复计划。
以下是我们的排查结果,基于v1.3.7版本的二进制,如果有异议可以讨论
rasp-engine.jar、rasp.jar
1. log4j:log4j:1.2.17
CVE-2022-23305 - rasp没有使用JDBCAppender,此漏洞无法利用
CVE-2022-23302 - rasp日志无配置文件,此漏洞无法利用
CVE-2021-4104 - rasp日志无配置文件,此漏洞无法利用
CVE-2019-17571 - rasp没有调用SocketServer,此漏洞无法利用
CVE-2022-23307 - rasp没有调用chainsaw组件,也没有读取日志,此漏洞无法利用
2. org.yaml:snakeyaml:1.23
CVE-2017-18640 - 攻击者需要能修改openrasp.yml才行,而且这个是个DoS漏洞,无法用于获取主机权限,可忽略
3. libopernrasp_v8_java
明年我们会发布2.0版本,到时候就没有v8组件了,目前的说明是:
- openssl相关: v8本身并不用于网络通信或者加解密操作,粗略翻了一下,这些漏洞应该可以全部忽略。
- zlib相关: 同上,没有发现能触发的点,如果有想法可以讨论
4. jsoniter
4.1 jsoniter反序列化
代码里只使用了serialize,因此漏洞不存在
4.2 jackson相关
虽然jsoniter/pom.xml里包含了jackson字样,但实际上rasp-engine.jar并不包含jackson代码,因此漏洞不存在
./com/baidu/openrasp/jsoniter/extra/JacksonCompatibilityMode$1.class
./com/baidu/openrasp/jsoniter/extra/JacksonCompatibilityMode$2.class
./com/baidu/openrasp/jsoniter/extra/JacksonCompatibilityMode$3.class
./com/baidu/openrasp/jsoniter/extra/JacksonCompatibilityMode$4.class
./com/baidu/openrasp/jsoniter/extra/JacksonCompatibilityMode$5.class
./com/baidu/openrasp/jsoniter/extra/JacksonCompatibilityMode$Builder.class
./com/baidu/openrasp/jsoniter/extra/JacksonCompatibilityMode.class
5. gson相关
gson所有操作都仅限于服务端通信,且从目前公开信息开只能DoS,利用价值较低(无法RCE)、成本较大(需要替换RASP服务器)
RaspInstall
这个不是服务器上常驻的程序,漏洞不需要关注。
- CVE-2021-29425: RaspInstall.jar没有调用FileNameUtils.normalize,因此不存在漏洞
Thanks for your response.
最近又通过二进制扫描工具,扫描到了还有部分漏洞如下,请确认一下是否有影响,如果有影响,请确认是否有修复计划。
| 漏洞编号 | 漏洞分析 | 漏洞文件 | 组件 |
|---|---|---|---|
| CVE-2021-29425 | 开源组件rasp的漏洞 | rasp-engine.jar RaspInstall.jar | apache commons io |
| CVE-2020-9488, CVE-2022-23307, CVE-2020-9493 | 开源组件rasp的漏洞 | rasp-engine.jar | apache log4j |
| CVE-2022-25647 | 开源组件rasp的漏洞 | rasp-engine.jar | gson |
| CVE-2018-25032 | 开源组件rasp的漏洞 | openrasp_v8_java.dll libopenrasp_v8_java.so | zlib |
@doufum 已经更新到上面,目前看都可以忽略
谢谢及时回复,👍🏻