Apache Software Foundation Apache Ivy’de, tehdit aktörlerinin verileri sızdırmasına ve yalnızca Apache Ivy çalıştıran makineyle sınırlı olan hassas bilgilere erişmesine izin veren kör bir XPath enjeksiyon güvenlik açığı keşfedildi.
Bu güvenlik açığı, harici belge indirmeye ve herhangi bir varlık referansının genişletilmesine izin veren kendi yapılandırması olan Maven POM’ları (Proje Nesne Modelleri) ayrıştırılırken 2.5.2’den önceki sürümlerdeki XML dosyalarının ayrıştırılmasında bulunmaktadır.
Tehdit aktörleri, Ivy’yi farklı şekillerde manipüle etmek veya yürütmek veya makinenin içindeki hassas bilgilere erişmek için bu Blind XPath enjeksiyon güvenlik açığından yararlanabilir. Bu güvenlik açığı, XML Harici Varlık başvurusunun hatalı şekilde kısıtlanmasından kaynaklanmaktadır.
Proje bağımlılıklarını çözen ve Apache Ant projesinin bir parçası olan bir bağımlılık yöneticisidir. Bir proje oluşturmak için gerekli kaynakları listelemek üzere proje bağımlılıklarını tanımlamak için bir XML dosyası kullanır.
Bu güvenlik açığı için CVE Kimliği, CVE-2022-46751 olarak verilmiştir ve CVSS puanı henüz onaylanmamıştır.
Apache Ivy 2.5.2 sürümü yayınlandı
Apache Ivy sürüm 2.5.2’den önce, Apache Ivy, Maven POM’larını ve diğer dosyaları ayrıştırırken varsayılan olarak DTD işlemeye sahiptir.
Bununla birlikte, hatayı düzeltmenin bir parçası olarak Apache, Maven POM’ları hariç tüm dosyalar için DTD (Belge Türü Tanımı) işlemeyi devre dışı bırakan ve yalnızca işlem için kullanılan bir DTD parçacığının dahil edilmesine izin veren Apache Ivy sürüm 2.5.2’yi yayımladı. mevcut Maven POM’ları ile.
Bunlar geçerli XML dosyaları değildir ancak Maven POM’ları tarafından kabul edilir. Apache Ivy, Apache Tomcat Project 2000’den kaynaklanan yazılım oluşturma süreçlerini otomatikleştirmede uzmanlaşmış Apache Ant projesinin bir parçasıdır.
Kullanıcıların bu güvenlik açığından yararlanılmasını önlemek için Apache Ivy 2.5.2’nin en son sürümüne yükseltmeleri önerilir. Alternatif olarak, harici DTD’lerin işlenmesini kısıtlamak için Java sistem özellikleri kullanılabilir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.