Fortify 软件安全内容更新 24.4
Fortify 软件安全内容更新 24.4
Fortify 软件安全研究团队将前沿研究转化为安全情报,为 Fortify 产品组合提供支持,包括 OpenText Fortify Static Code Analyzer 和 WebInspect。如今,Fortify Software Security Content 支持 33 种语言的1662个漏洞类别,并涵盖超过 1百万个单独的 API。
Fortify 软件安全研究 (SSR) 很高兴地宣布立即推出 Fortify 安全编码规则包(英语,版本 2024.4.0)、Fortify WebInspect SecureBase(通过 SmartUpdate 提供)和 Fortify Premium Content 的更新。
Fortify 安全编码规则包 [Fortify Static Code Analyzer]
在此版本中,Fortify Secure Coding Rulepacks 可检测 33种语言的 1437种独特漏洞类别,并涵盖超过 1百万个单独的 API。总之,此版本包括以下内容:
改进了对 PL/SQL 的支持(支持的版本:19c)[1]
PL/SQL 是 Oracle 的 SQL 语言过程实现,通常用于与关系数据库交互。它的主要优势和优势是提供一种服务器端的、存储的过程语言,该语言易于使用、与 SQL 无缝、健壮、可移植且安全。从 Fortify Static Code Analyzer 24.4 开始,大多数与 PL/SQL 相关的类别由新的和改进的分析引擎报告(有关排除项,请参阅支持的库文档)。
此迁移支持的类别:
·访问控制:数据库
·代码正确性:错误的 null 比较
·跨站点脚本:持久
·跨站点脚本:验证不佳
·跨站点脚本:反映
·危险功能
·拒绝服务
·标头操作
·不安全的随机性
·密钥管理:空加密密钥
·密钥管理:硬编码加密密钥
·密钥管理:Null 加密密钥
·打开重定向
·密码管理
·密码管理:空密码
·密码管理:硬编码密码
·密码管理:空密码
·错误处理不佳:默认异常处理程序为空
·侵犯隐私
·权限管理:默认功能或过程权限
·权限管理:默认包权限
·权限管理:过于宽泛的授权
·资源注入
·SQL 不良做法:未指定标识符
·SQL 注入
·系统信息泄漏:外部
·信任边界冲突
·弱加密哈希
云基础设施即代码 (IaC)[2]
扩展了对云基础设施即代码的支持。基础设施即代码是通过代码管理和配置计算机资源的过程,而不是各种手动过程。将向开发人员报告与上述这些服务的配置相关的常见问题。从 Fortify Static Code Analyzer 24.4 开始,大多数 Azure Terraform、Google Cloud Platform (GCP) Terraform 和 Amazon Web Services (AWS) Terraform 配置问题都是由新的分析引擎报告的。这将导致在合并使用 Fortify Static Code Analyzer 的早期版本生成的 FPR 时添加和删除一系列问题。此外,还添加了以下类别:
·侵犯隐私
·密码管理:硬编码密码
·密码管理:空密码
Azure Terraform 配置
HashiCorp Terraform 是一种基础设施即代码工具,可让您在人类可读的配置文件中定义云和本地资源,您可以对其进行版本控制、重用和共享。然后,您可以使用一致的工作流程在基础设施的整个生命周期内预置和管理所有基础设施。利用这些模板,用户可以创建、删除和修改资源集合(称为堆栈)作为单个单元。称为提供程序的 Terraform 插件允许 Terraform 通过其应用程序编程接口 (API) 与云平台和其他服务进行交互。在此版本中,我们提高了以下类别的准确性:
·Azure Terraform 配置错误:不安全的磁盘存储
·Azure Terraform 配置错误:网络观察程序日志记录不足
·Azure Terraform 配置错误:虚拟网络可用性降低
·Azure Terraform 配置错误:应用服务身份验证较弱
初始 gRPC for .NET 支持(支持的版本:2.66.0)
gRPC for .NET 是适用于 .NET 平台的远程过程调用框架。一个现代、开源和高性能的 RPC 框架,可以在任何地方运行,并在服务器和客户端之间提供透明的通信,以简化连接系统的构建。初始支持包括以下类别:
·gRPC 元数据操作
·不安全的运输
·不安全传输:gRPC 通道凭证
·资源注入
改进的 Spring Security 支持(支持的版本:6.3.3)
Spring Security 提供了一个用于身份验证、授权和防止常见攻击的框架。包括以下类别的改进覆盖范围:
·HTML5:缺失内容安全策略
·HTML5:过于宽松的内容安全策略
·HTML5:过于宽松的 CORS 策略
·HTML5:过于宽松的反向链接策略
·密码管理:空密码
·密码管理:硬编码密码
·密码管理:空密码
·Spring Security 配置错误:禁用了安全标头
·Spring Security 配置错误:缺少回退检查
此外,还支持以下新类别:
·密钥管理:空 PBE 密码
·密钥管理:硬编码 PBE 密码
·密钥管理:Null PBE 密码
·弱加密哈希
·弱加密哈希:硬编码 Salt
·弱加密哈希:不安全的 PBE 迭代计数
·弱加密哈希:用户控制的 salt
·弱加密:用户控制的密钥大小
改进的Spring Web & Spring Web MVC支持(支持的版本:6.1)
Spring Web 和 Spring Web 模型-视图-控制器 (MVC) 是 Spring Framework 的模块,围绕 Servlet 体系结构设计,提供用于构建 Web 应用程序和 Web 服务的功能。改进的Spring Web和Spring Web MVC支持侧重于在Web控制器和API控制器内的复杂场景中的改进结果,包括检测JSON注入的能力。支持还包括检测 SameSite Cookie 弱点的功能。
此库更新的类别:
·跨站点脚本:组件间通信
·跨站点脚本:持久
·跨站点脚本:验证不佳
·跨站点脚本:反映
此库的新增类别:
·Cookie 安全性:缺少 SameSite 属性
·Cookie 安全性:过于宽松的 SameSite 属性
·JSON 注入
改进了对 Android 14 的支持(支持的版本:Android SDK 平台 34)
Android API 是一组用于在 Android 设备上构建应用程序的工具和库。它提供对 Android 平台的底层硬件、系统功能和服务的访问。此版本包含对 Java 和 Kotlin 的 Android API 支持的增量更新。
改进的弱点类别覆盖率包括以下内容:
·标头操作
·不安全的传输:弱 SSL 协议
·密码管理:硬编码密码
·路径操作
·侵犯隐私
·设置操作
·系统信息泄漏:外部
此版本针对 Android 应用程序引入了以下新的弱点类别:
·Android 配置错误:已禁用 Zip 条目覆盖保护
·跨站点脚本:AI
改进了对 Android Jetpack (AndroidX) 的支持
Android Jetpack 是一组库、工具和指南,可帮助开发者更轻松地创建 Android 应用。Jetpack 涵盖 androidx.* 软件包,并且与平台 API 分离,这有助于促进向后兼容性并允许更频繁的更新。在此版本中,我们改进了对以下库的支持:
·credentials(支持的版本:1.2.2)
·room(支持的版本:2.6.1)
改进的弱点类别覆盖率包括以下内容:
·访问控制:数据库
·不安全存储:Android 外部存储
·路径操作
·侵犯隐私
·系统信息泄漏:外部
改进了对 Flask 的支持(支持的版本:3.0)
Flask 是一个用 Python 编写的微型 Web 框架,不需要一组特定的工具或库。它是一个轻量级且成熟的框架,最适合中小型项目,但也能够处理相对复杂的项目,例如小型 API 和微服务。在此版本中,我们改进了对 Flask 3 和 Jinja2 的支持。
品类覆盖率包括以下内容:
·跨站点脚本:持久
·跨站点脚本:反映
·跨站点脚本:验证不佳
·标头操作
·JSON 注入
·侵犯隐私
·系统信息泄漏:外部
检测与人工智能 (AI) 和机器学习 (ML) 模型
相关的风险随着生成式 AI 和大型语言模型 (LLM) 的使用迅速改变软件行业的解决方案领域,新的风险也随之出现。此版本改进了对使用 Spring AI (Java)、LangChain (JavaScript)、Google Gemini (Node.js) 的项目的覆盖范围,并改进了对 OpenAI API(Python 和 JavaScript)、Anthropic Claude (JavaScript) 的支持。除了以下功能外,支持还可以检测由于隐式信任 AI/ML 模型 API 的响应而导致的弱点:
对 Java Spring AI 的初始支持(支持的版本:1.0.0-M2)
Spring AI 库通过将各种语言模型和矢量数据库与应用程序集成,提供了使用 AI 功能增强 Spring 应用程序的工具。
对此库的初步支持包括以下命名空间:
·springframework.ai.chat.client
·springframework.ai.chat.messages
·springframework.ai.chat.model
·springframework.ai.chat.prompt
·springframework.ai.model
类别覆盖范围包括以下内容:
·侵犯隐私
·Prompt Injection
此外,我们支持从机器学习模型中识别可能不安全的数据,这可能会导致在 Java、Kotlin 和 Scala 应用程序中发现新的“跨站点脚本:AI”。
对 JavaScript LangChain 的初始支持(支持的版本:0.3)
LangChain 是一个开源编排框架,用于使用大型语言模型 (LLM) 开发应用程序。适用于 JavaScript 的 LangChain 库提供了用于创建 LLM 驱动的应用程序(例如聊天机器人和虚拟代理)的工具和 API。
类别覆盖范围包括以下内容:
·侵犯隐私
·Prompt Injection
此外,我们支持从机器学习模型中识别可能不安全的数据,这可能会导致 JavaScript 应用程序中出现新的“跨站点脚本:AI”结果。
对 Google Gemini API SDK for Node.js 的初始支持(支持的版本:1.5)
Gemini 是 Google 开发的生成式人工智能聊天机器人;它允许访问 Google 大型语言模型 (LLM)。Gemini 可以处理多种类型(或 “模式”)的输入,使其成为多模态,这意味着它可以处理文本、代码、图像甚至音频。它有可能准确地解决问题、提供建议和回答各个领域的问题——从普通到科学。在此版本中,我们为 GoogleGenerativeAI 软件包中的Node.js Google Gemini API SDK 提供初始支持。
品类覆盖率包括以下内容:
·侵犯隐私
·Prompt Injectio
此外,我们支持从机器学习模型中识别可能不安全的数据,这可能会导致 JavaScript 应用程序中出现新的“跨站点脚本:AI”结果。
改进了对 Python OpenAI 的支持(支持的版本:1.43)
适用于 Python 的 OpenAI 库提供了用于将 AI 功能集成到各种应用程序中的工具。该库支持一系列功能,例如自然语言处理、文本生成和对话式 AI。
我们之前发布的规则进行了更新,以提高稳健性并检测库的各种使用案例。
此库更新的类别:
·侵犯隐私
改进了对 JavaScript OpenAI 的支持(支持的版本:4.60.0)
适用于 JavaScript 的 OpenAI 库提供了将 AI 功能集成到各种应用程序中的工具。该库支持一系列功能,例如自然语言处理、文本生成和对话式 AI。
我们之前发布的规则进行了更新,以提高稳健性并检测库的各种使用案例。
此库更新的类别:
·侵犯隐私
·Prompt Injectio
改进了对 JavaScript Anthropic 的支持(支持的版本:0.27.1)
适用于 JavaScript 的 Anthropic Claude 库提供了将 Claude AI 语言模型集成到应用程序中的工具。
我们之前发布的规则进行了更新,以提高稳健性并检测库的各种使用案例。
此库更新的类别:
·侵犯隐私
·Prompt Injectio
美国国防信息系统局 (DISA) 应用程序安全和开发安全技术实施指南 (STIG) 版本 6.1
为了支持我们联邦客户的合规性需求,添加了 OpenText Fortify Taxonomy 与 DISA 应用程序安全和开发 STIG 版本 6.1 的关联。
MISRA C 2023 支持
MISRA 是制造商、组件供应商、学术界和工程咨询公司的合作,旨在推广与安全和安保相关的电子系统和其他软件密集型应用的最佳实践。MISRA C 2023 指南为 C 编程提供了指导,有助于识别将对程序安全性、安全性和可靠性产生负面影响的代码和编码实践。为了支持寻求符合 MISRA C 2023 的客户,添加了 OpenText Fortify 分类法与具有安全影响的 MISRA C 2023 指南的关联。
其他勘误表
在此版本中,我们投入了资源来减少误报问题的数量,重构以实现一致性,并提高客户审核问题的能力。客户还可以看到与以下内容相关的报告问题的变化:
弃用 21.x 之前的 Fortify Static Code Analyzer 版本
正如 2023.4 版本所观察到的,我们将继续支持 Fortify Static Code Analyzer 的最后四个主要版本。因此,这将是支持 21.x 之前的 Fortify Static Code Analyzer 版本的规则包的最后一个版本。对于下一个版本,21.x 之前的 Fortify Static Code Analyzer 版本将不会加载最新的规则包。这将需要降级 Rulepack 或升级 Fortify Static Code Analyzer 的版本。对于未来的版本,我们将继续支持 Fortify Static Code Analyzer 的最后四个主要版本。
减少假阳性和其他显著的检测改进
在此版本中,我们仍在努力消除误报。客户可以期待进一步消除误报,以及与以下方面相关的其他显著改进:
·访问控制:未强制实施的共享规则 – 在 Salesforce Apex 应用程序中消除误报
·访问控制:数据库 – 在 Java Hibernate 应用程序中删除了重复问题
·凭证管理:硬编码 API 凭证 – 删除了 git 提交哈希的误报
·跨站点脚本:DOM – 在 JavaScript 应用程序中删除了误报
·格式字符串 – 在 C/C++ 应用程序中删除了误报
·公式注入 – 在访问电子表格文件的 Java 应用程序中检测到的新问题
·不安全传输:数据库 – 在包含数据库连接字符串的 ASP.NET Web 配置文件中删除误报
·Open Redirect – 删除了包含“”元素的 HTML 文件中的误报
·密码管理 – 消除了硬编码 SQL 查询的误报问题
·密码管理:硬编码密码 - 在 Dart 应用程序中检测到新问题
·密码管理:配置文件中的密码 - 删除了 Apache Axis2 配置文件中的重复问题
·Path Manipulation - 在 COBOL 应用程序中删除了重复问题
·Spring Boot 错误配置:已启用 DevTools – 在 Spring 应用程序中删除了误报
·SQL 注入 – 在与 MarsDB API 相关的 Node.js 应用程序中检测到的问题正确报告为 NoSQL 注入:MarsDB
·类型不匹配:已签名到无符号 – 在 C/C++ 应用程序中删除了误报
·未经身份验证的服务:Redis – 使用 Redis 删除了数据库连接字符串中的误报
·未发布的资源:Streams – 在 lambda 中出现时消除了误报问题
·未发布的资源:同步 – 在 C/C++ 应用程序中删除了误报
·使用 Requests 库的 Python 应用程序中的各种数据流漏报
·在涉及数字类型的 ASP.NET 应用程序中删除了各种数据流误报
·当数据被解释为日期或时间时,在 Java 应用程序中删除了各种数据流误报
·在 Java Spring Data 应用程序中消除了各种重复的数据流问题。
类别名称更改
当弱点类别名称发生更改时,将先前扫描的分析结果与新扫描合并可能会导致添加/删除类别。
为了提高一致性,以下两个类别已重命名:
|
2024 R2 类别名称 |
24.4 类别名称 |
|
GCP Terraform 配置错误:角色过于宽松 |
GCP Terraform 配置错误:过于宽松的 IAM 角色 |
|
GCP Terraform 配置错误:宽松防火墙 |
GCP Terraform 配置错误:过于宽松的 VPC 防火墙 |
更新了 DISA 控制关联标识符 (CCI) 版本 2 的映射
DISA CCI 是一份文件,它通过提供一组标准标识符和单一的可操作声明来弥合高级和低级网络安全指南之间的差距。DISA 应用程序安全和开发 STIG 与 DISA CCI 紧密对应,其中单个 STIG 控制可能适用于一个或多个 CCI。此版本使映射的 CCI 与最近对 DISA 应用程序和开发 STIG 6.1 的支持相当。
更新了 NIST 特别出版物 800-53 修订版 4 和 5 的映射
美国国家标准与技术研究院 (NIST) 特别出版物 800-53 是一份文件,它为信息系统提供了安全和隐私控制目录,整个网络安全领域可以利用这些目录来提供有关如何保护系统的指导。NIST 特别出版物 800-53 与 DISA CCI 紧密对应,其中单个 CCI 可能适用于一个或多个 NIST 800-53 控制措施。此版本使映射的 NIST 800-53 控制措施与最近对 DISA 应用程序和开发 STIG 6.1 的支持相当。
使软件安全内容发布与 OpenText 版本控制
如 2024 Update 2 版本中所述,OpenText Fortify 软件内容更新现在与 OpenText 版本控制标准保持一致。今后的版本计划每年每季度发布一次,并根据年份和季度进行编号——因此,此版本的 OpenText Fortify 软件安全内容为 24.4,表示在 4 年第 2024 季度的第一个月发布。下一个版本将在 2025 年第一季度发布 25.1。
Fortify SecureBase [Fortify WebInspect]
Fortify SecureBase 将对数千个漏洞的检查与策略相结合,这些策略可指导客户使用 SmartUpdate 立即获得以下更新。
漏洞支持
拒绝服务:GraphQL
GraphQL 是一种 API 查询语言,提供用于查询现有数据的运行时。攻击者可以通过将多个昂贵的查询批处理到单个请求中来触发过多的 CPU 和内存使用,从而导致拒绝服务 (DoS)。此版本包括一项检查,用于检测 GraphQL 应用程序中是否存在批处理攻击。
命令注入
如果您在 Windows 上使用 Apache 和 PHP CGI,并且系统设置为使用某些代码页,则 PHP CGI 模块可能会将某些字符误解为 PHP 选项。这可让攻击者将选项传递给 PHP 二进制文件,以显示源代码或在服务器上运行任意 PHP 代码。这会影响 PHP 版本 5、7、8.0、8.1.*x(8.1.29 之前)、8.2.*x(8.2.20 之前)和 8.3.*x(8.3.8 之前)。CVE-2024-4577 发现了此安全问题,此版本包括一项检查,用于在目标服务器上检测此漏洞。
不安全部署:未修补的应用程序 (CVE-2024-38475)
Apache HTTP Server 容易受到 CVE-2024-38475 发现的 DocumentRoot 混淆攻击。在 Apache HTTP Server 版本 2.4.59 及更早版本上,mod_rewrite 中的输出转义不当,可让攻击者将 URL 映射到允许服务器提供服务但任何 URL 无法有意/直接访问的文件系统位置。攻击者可以使用它来执行代码或泄露源代码。服务器上下文中使用反向引用或变量作为替换的第一段的替换会受到影响。此版本包含用于检测 Apache HTTP Server 中的此漏洞的检查。
合规性报告
DISA 应用程序安全和开发 STIG 版本 6.1
为了支持联邦客户的合规性需求,添加了 WebInspect 检查与 DISA 应用程序安全和开发 STIG 版本 6.1 的关联。
策略更新
改进的 DISA STIG 6.1
已将自定义策略以包括与 DISA STIG 6.1 相关的检查添加到受支持策略的 WebInspect SecureBase 列表中。
其他勘误表
在此版本中,我们投入了资源来进一步减少误报的数量并提高客户审计问题的能力。客户还可以看到与以下方面相关的报告结果发生变化。
凭证管理:敏感信息泄露
此版本包括对凭证管理:敏感信息泄露检查的改进,以减少误报并提高其结果的准确性。此外,您还可以使用 Check Input 为未经身份验证的扫描启用此检查。
Flag At Host (在主机上 标记)
Flag At Host check 输入字段控制我们是报告爬网过程中遇到的每个终端节点的漏洞,还是仅报告每个主机一次的漏洞。我们已将此检查输入的用法扩展到一些与 Cookie 和标头相关的检查。默认情况下,该值设置为每个主机仅标记一次。通过将 'Flag At Host' 的值更改为 '0' 或 'false',将在每个端点上标记检查。以下检查列表将合并到报告一次中:
·缓存的 SSL 内容
·Cookie 安全性:HTTPOnly 未设置
·Cookie 安全性:缺少 SameSite 属性
·Cookie 安全性:过于宽松的 SameSite 属性
·Cookie 安全:持久性 Cookie
Fortify Premium 内容
研究团队构建、扩展和维护我们核心安全情报产品之外的各种资源。
DISA STIG 6.1 和 MISRA C 2023
为了配合新的相关性,此版本还包含支持 DISA STIG 6.1 和 MISRA C 2023 的 OpenText Fortify 软件安全中心的新报告包,可从 Fortify 客户支持门户的“高级内容”下下载。
Fortify Taxonomy:软件安全错误
Fortify Taxonomy 网站包含在新添加的类别支持的描述,可在 https://vulncat.fortify.com 上获得。
[1] 需要 Fortify Static Code Analyzer 24.4 或更高版本。
[2] 需要 Fortify Static Code Analyzer 24.4 或更高版本。此外,对于 Fortify Static Code Analyzer 24.4 或更高版本,需要 24.4 或更高版本的规则包 (2024.4.0.0009) 以防止出现重复的 IaC 问题。
联系客户支持
