JFrog Artifactory 多个漏洞威胁软件供应链安全

最新推荐文章于 2024-08-22 19:51:07 发布
最新推荐文章于 2024-08-22 19:51:07 发布
阅读量248 收藏
点赞数
文章标签: 安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519025&idx=2&sn=9f5aa3afc5e6ee3f439bd94c36a8f2ce&chksm=eb7f457f8523211f5ebe8747503981adf7e18170f66170278ffa5faff247a11b1dfe9b153d02&scene=126&sessionid=0
版权

ede16ba6d95fca87f3335eab9df1e1f7.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

JForg Artifactory 中存在多个安全漏洞,可导致软件开发管道遭攻陷。

这些漏洞简述如下:

  • CVE-2023-42509:机密泄露 (CVSS 6.6)。该漏洞存在的原因是 Artifactory 管理仓库配置的方式不当。处理不当的错误可被组合用于泄露敏感数据如凭据或内部系统信息。虽然该漏洞本身并不能立即产生灾难性后果,但可使攻击者获得进一步攻陷防御措施的有价值信息。

  • CVE-2023-42661:任意文件写(CVSS 7.2)。该漏洞与 Artifactory 的文件处理流程有关。认证攻击者可发送特殊设计的请求,诱骗 Artifactory 编写任意文件,从而可能造成严重后果,如系统崩溃、数据损坏或直接在用户机器上运行恶意代码。

  • CVE-2023-42662:访问令牌泄露(CVSS 9.3):该漏洞为严重等级的漏洞,可攻陷 Artifactory 的单点登录特性。特殊构造的 web 地址可诱骗用户暴露自己的访问令牌。成功攻击可导致攻击者模拟合法用户并对 Artifactory 环境造成严重损害。

JFrog已修复这些漏洞并提供缓解措施。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

速修复!TeamCity中存在两个严重的漏洞,可触发供应链攻击

谷歌修复代码测试工具Bazel 中的严重供应链漏洞

全球软件供应链安全指南和法规概览

TensorFlow CI/CD 漏洞使供应链易遭投毒攻击

软件供应链投毒 — NPM 恶意组件分析

原文链接

https://securityonline.info/jfrog-artifactory-vulnerabilities-patch-now-to-protect-your-software-supply-chain/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

02141909c14ce6dbe7d9f84b821bd7e5.jpeg

2694cc7a9532be6597eb17085afdb2f7.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   a310ef4c8cd967f7be137d862a1565fb.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JFrog-Xray的安装:保护您的代码,防止不必要的OSS安全和许可证合规风险进入您的软件版本
2301_76601027的博客
05-06 680
JFrog-Xray的安装:保护您的代码,防止不必要的OSS安全和许可证合规风险进入您的软件版本
Artifactory和Xray的升级-RPM
2301_76601027的博客
05-12 328
在升级前呢,我们需要一个安装好的Artifactory6和Xray2,还需要一个Postgresql数据库。小编就不带大家安装了,把之前文章的链接附在这里。8.访问http://192.168.5.40:8082,制品和第三方依赖都在,未丢失。同样小编在这里提醒大家安装记得关闭防火墙!,选择一个加入扫描的仓库,找到他的制品,点击。备份,一定要有数据,有存储的制品。下载要升级到版本的安装包,选择。的访问地址,当看到以下选项时,添加要扫描的资源和要使用的策略。小编今天的分享就到这里了。会保留,所以直接创建。
如何探测类似Struts 2的安全漏洞JFrog Xray 帮你扫描漏洞,并阻止漏洞上线
JFrog技术博客
03-13 3163
近期Struts 2的高危漏洞闹得沸沸扬扬,阿里云也发布了一则告警,提示 Struts 2存在高危漏洞,距离上一次 Struts2漏洞报出也就是半年前,于是我决定研究下漏洞形成的原理,后来的事实证明,收获不小! 于是我到 Apache 官网上看到了漏洞的描述 得到的信息: ● 通过 Jakarta Multipart par
JFrog Xray 开源安全管控的哲学
tomcat的专栏
08-30 3568
背景 随着开源软件的大量使用,企业生产环境中运行的大部分都是开源代码,但开源并不意味着安全,近年来频繁出现的开源安全漏洞也印证了这一点。在安全问题被发现后,各企业在内部进行自我排查,这种被动的安全管控弊端是显而易见的。是否存在一种主动的防御模式,在交付流程开始的时候就可以洞悉所引用的开源软件安全状况,并采取合理有效的措施防呢? 传统安全管控的弊端 传统企业安全漏洞扫描是上线前的最...
HAProxy——http请求走私漏洞(CVE-2021-40346)分析
weixin_50464560的博客
09-24 3691
漏洞信息在9月7号,JFrog安全研究团队发布了一个HAProxy的严重漏洞的信息。HAProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。 HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进架构中, 同时可以保护web服务器不被暴露到网络上。 此漏洞编号为CVE-2021-40346,是一个整
JFrog Xray如何实现组件安全精准管理
JFrog技术博客
08-24 876
背景 在安全管理的工作中常常遇到互联网上新发布了一个包的漏洞,此时部门需要立刻知道这个包的引用情况。遇到这种情况,安全管理部门往往是采用发邮件让开发人员进行自查,并要求停止引用。 要求每个研发自查,并不是一个有效的管控方式,首先是开发人员要有足够的自觉性,其次时间上也不可控,并没有一个有效的手段来约束。还会造成没有引用的项目组,自行排查而浪费时间。 Xray工具介绍 Xray可以根据包的情况来检测到依赖的项目。当出现上述问题的时候,可以针对某一个包来反向排查,实现依赖项目的精准定位,从而准确通知到使
npmfrog:jFrog Artifactory的类似于npmjs.org的Web界面,具有材料设计
02-03
JFrog Artifactory一个类似于npmjs.org的不错的Web界面 要在不同项目和开发人员之间共享公司或团队中的代码,您可以使用私有的npm注册表,例如或 (在Java环境中通常用于Maven依赖管理)。 后者缺少适合Web开发人员...
artifactory_exporter:用Go编写的JFrog Artifactory Prometheus Exporter
02-04
此导出器正在开发中,以后将添加更多指标。 在Artifactory Commercial,Enterprise和OSS版本6.x和7.x 。 认证方式 Artifactory导出器需要admin用户,并且支持多种身份验证方式。 支持以下方法: 基本认证 不记名...
nexus2artifactory:NexusToArtifactory - 旨在简化从 Sonatype Nexus 迁移到 JFrog Artifactory 的工具
05-31
该工具旨在简化从 Sonatype Nexus 到 JFrog Artifactory 的过渡。 它提供了一个简单的类似向导的界面,允许您轻松配置和运行从 Nexus 实例到 Artifactory 实例的存储库、工件、用户和设置的迁移。 目前,可以迁移...
Jfrog Artifactory CICD guide
08-12
JFrog Artifactory是一个基于二进制文件的仓库管理器,它可以与CI/CD系统如Jenkins整合,以自动化软件分发和部署流程。以下将详细介绍JFrog Artifactory如何与Jenkins协同工作来实现CI/CD。 首先,JFrog ...
jfrog-artifactory-badge:一个基于http的微型微服务,为给定的私人jfrog工件存储库提供shields.io图像徽章
05-15
jfrog-artifactory-badge 一个基于http的微型微服务,用于为给定的私有jfrog工件存储库提供图像徽章。入门节点8+ 将.env.example文件复制/重命名为.env,然后填写工件设置的详细信息npm安装npm开始示例.env文件您...
artifactory REST API
maty_huhongshuang的博客
07-12 2522
我这里直接使用的是admin,最重要的是不可以用general的库,因为这个里面没有包,我是用的是local,就OK了
为什么5000+企业放弃Sonatype,选择JFrog Artifactory
JFrog技术博客
01-07 1293
一、背景 制品,artifact,也称为工件,是指在构建或持续集成过程中从源码创建而成的二进制包,而这些二进制包通常是通过赋予其的版本号来唯一定位和管理的。制品仓库,artifact repository,则是存储和管理这些版本化的二进制包,并对外提供检索和访问方法的应用程序。 制品仓库通常分为中央仓库、企业仓库和本地仓库。中央仓库面向公众开放,存储和管理预先构建好的二进制包,通常提供软件开发...
Artifactory安装教程(一)
故事凌
03-27 3067
1. artifactory介绍1. 介绍Artifactory是一个Maven企业级仓库。它提供先进的代理、高速缓存和安全设施,来供一个强大、独立的重复性和环境建设的Maven所使用。...
AI安全-文生图
深度安全实验室
08-15 488
AI安全-文生图
数采网关面临的安全挑战
编程之道在明明德在亲民在止于至善
08-22 216
数采网关面临的安全挑战
92.WEB渗透测试-信息收集-Google语法(6)
最新发布
计算机王的博客
08-22 108
web渗透测试
第134天:内网安全-横向移动&NTLM-Relay重放&Responder中继攻击&Ldap&Ews
weixin_71529930的博客
08-22 397
本节案例适用于不能获得域控密码和hash的情况。
华为账号“一键登录”能力让美团用户尽享安全便捷的登录体验
HarmonyOS SDK闭源开放能力技术团队
08-19 593
3.将获取到的匿名手机号设置给下面PreviewLoginButtonPage示例代码中的quickLoginAnonymousPhone变量,调用LoginWithHuaweiIDButton组件,实现应用自己的登录页面,并展示华为账号一键登录按钮和华为账号用户认证协议(Account Kit提供跳转链接,应用需实现协议跳转,参见约束与限制第2点),用户同意协议并点击一键登录按钮后,可获取到Authorization Code,将该值传给应用服务器用于获取用户信息(完整手机号、UnionID)。
jfrog artifactory apply on anonymous access按钮无法点击
06-09
如果您在JFrog Artifactory上看到“Apply”按钮无法点击,则可能是由于您没有足够的权限进行更改。 请确保您有管理员权限或具有足够的权限以进行更改。如果您已经有管理员权限,还是无法进行更改,则可以尝试重新启动JFrog Artifactory并再次尝试。 另外,您还可以检查您的Web浏览器是否已启用JavaScript。如果JavaScript被禁用,则“Apply”按钮可能无法点击。 如果以上方法都无效,请尝试在JFrog Artifactory的日志中查找任何错误消息或联系JFrog的支持团队以获取更多帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值