Fortify Securebase [Fortify WebInspect]

Fortify Securebase 將針對(duì)數(shù)千個(gè)漏洞的檢查與策略相結(jié)合，這些策略可指導(dǎo)用戶通過 SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修補(bǔ)的應(yīng)用程序[5]

Cacti 是一個(gè)框架，為用戶提供日志記錄和繪圖功能來監(jiān)視網(wǎng)絡(luò)上的設(shè)備。p文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 識(shí)別的遠(yuǎn)程代碼執(zhí)行 （RCE） 漏洞的影響。使用用戶輸入輪詢數(shù)據(jù)調(diào)用方法proc_open時(shí)傳遞 poller_id 參數(shù)。由于此值未清理，因此攻擊者能夠在目標(biāo)計(jì)算機(jī)上執(zhí)行命令。將此命令注入問題與使用 X-Forwarded-For 標(biāo)頭的身份驗(yàn)證繞過相結(jié)合，會(huì)導(dǎo)致未經(jīng)身份驗(yàn)證的攻擊者危害整個(gè)應(yīng)用程序。此版本包括一項(xiàng)檢查，用于在運(yùn)行受影響的 Cacti 版本的目標(biāo)服務(wù)器上檢測(cè)此漏洞。

SAML 不良做法：不安全轉(zhuǎn)換

SAML消息經(jīng)過加密簽名，以保證斷言的有效性和完整。服務(wù)提供商必須執(zhí)行的簽名驗(yàn)證步驟之一是轉(zhuǎn)換 Reference 元素指向的數(shù)據(jù)。通常，轉(zhuǎn)換操作旨在僅選擇引用數(shù)據(jù)的子集。但是，攻擊者可以使用某些類型的轉(zhuǎn)換造成拒絕服務(wù)，在某些環(huán)境中甚至執(zhí)行任意代碼。此版本包括一項(xiàng)檢查，如果服務(wù)提供商允許在 XML 引用中使用不安全類型的轉(zhuǎn)換，則會(huì)觸發(fā)該檢查。

合規(guī)報(bào)告

DISA STIG 5.2 為了支持我們的聯(lián)邦客戶的合規(guī)需求，此版本包含 WebInspect 檢查與版本的信息系統(tǒng)局應(yīng)用程序安全和開發(fā) STIG 5.2

版的關(guān)聯(lián)。

PCI DSS 4.0 為了支持我們的電子商務(wù)和金融服務(wù)客戶的合規(guī)性需求，此版本包含 WebInspect 檢查與版本的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) 4.0 版中的要求的關(guān)聯(lián)

本文介紹了SonarQube版本更新升級(jí)的方法。包括SonarQube升級(jí)指南和9.9版本更新說明。

9.9 版升級(jí)說明

數(shù)據(jù)庫(kù)支持已更新

SonarQube不再支持Oracle版本12C和18C。

現(xiàn)在支持 Oracle 版本 21C。

現(xiàn)在支持 SQL Server 2022。

SonarQube 服務(wù)器需要 Java 17

Java 17 需要 SonarQube 服務(wù)器。不再支持使用 Java 11。

SonarScanner for .NET 兼容性

在SonarQube中對(duì)C#/VB.NET 進(jìn)行增量分析需要SonarScanner for .NET 5.11+。

社區(qū)版、版和企業(yè)版的單一Helm圖表

sonarqube lts Helm圖表不再維護(hù)，無(wú)法用于安裝sonarqube 9.9 lts。要安裝Community、Developer或Enterprise Edition，請(qǐng)使用sonarqube Helm圖表。數(shù)據(jù)中心版隨sonarqube dce Helm圖表提供。

已更新 Docker 映像

如果你使用自簽名的證書，你可能需要調(diào)整你的Docker配置：Java的安裝路徑已經(jīng)改變?yōu)?/p>

廢棄的和變量已被刪除

蕞新的配置變量請(qǐng)參見環(huán)境變量。

Docker鏡像上的標(biāo)簽被替換成新的LTS版本。如果你想避免任何自動(dòng)的重大升級(jí)，我們建議使用相應(yīng)的標(biāo)簽來代替.lts9.9-<edition>lts-<edition>。

嵌入式系統(tǒng)掃描策略

基于嵌入式軟件的掃描，可以在不執(zhí)行程序代碼的情況下，通過靜態(tài)分析程序特征以發(fā)現(xiàn)漏洞。

由于固件程序涉及知識(shí)產(chǎn)權(quán)，很少公開源代碼，在這種情況下需要通過對(duì)固件進(jìn)行逆向工程，再通過程序靜態(tài)分析技術(shù)進(jìn)行分析。

基于嵌入式軟件的漏洞檢測(cè)，除了應(yīng)用程序外，還應(yīng)包含引導(dǎo)加載程序、系統(tǒng)內(nèi)核、文件系統(tǒng)等環(huán)境。

嵌入式系統(tǒng)掃描

嵌入式系統(tǒng)掃描基于嵌入式系統(tǒng)的掃描，應(yīng)使用相應(yīng)的工具對(duì)嵌入式軟件壓縮包進(jìn)行掃描分析，整個(gè)分析流程主要分為四個(gè)階段：

di一階段：識(shí)別固件結(jié)構(gòu)體系，提取出待分析的目標(biāo)程序；

第二階段：識(shí)別固件中存在的軟件成分，如操作系統(tǒng)、中間件、應(yīng)用程序等；

第三階段：查找整個(gè)固件里如第三方庫(kù)、公私鑰的敏感信息；

第四階段：通過靜態(tài)分析技術(shù)對(duì)程序的匯編碼進(jìn)行分析，并與分析工具中內(nèi)置的漏洞庫(kù)、惡意代碼庫(kù)等數(shù)據(jù)庫(kù)進(jìn)行匹配，找出待測(cè)件中存在的漏洞及風(fēng)險(xiǎn)。