注意事項

概要

このページは、顧客向けの WhiteSource への注意事項に関するリンクを提供します。

重要なお知らせや製品リリースノートに関する電子メール通知をすぐに受け取るには、カスタマーコミュニティポータルの お知らせセクションに登録して ください。 

名前の変更

ユニファイドエージェント

  • php.removeDuplicateDependencieのデフォルトがTrueに変更されました。

ファイルシステムエージェント

WhiteSourceファイルシステムエージェント(FSA)は、WhiteSource UnifiedAgentに名前が変更されました。 

Sunライセンス

Sunライセンスの名前はSun Public ライセンスに名前が変更された。(21.3.2、4 / 11/21)

新規および/または変更されたドキュメント

新しいAPIドキュメント(バージョン21.7.1)

  • グローバル組織/組織/製品/プロジェクトレベルのAPIと製品およびプロジェクトレベルのAPIについて、新しく更新されたドキュメントが公開されました。

WhiteSource Cureバージョン(バージョン21.7.1)

  • 新製品WhiteSourceCureがベータ版でリリースされました。WhiteSource Cureは、プロプライエタリコードの検出ツールによって特定された脆弱性の修正提案と提案された修正を自動的に生成します。「レポート」と呼ばれる修復の提案は、脆弱なコード自体に表示され、IDEでそのまま使用できます。

新しいAPIドキュメント(バージョン21.6.3)

  • レポートAPIとライセンスおよびライブラリAPIの新しいドキュメントと更新されたドキュメントが公開されました。

新しいAPIドキュメント(バージョン21.6.2)

  • AlertsAPIとGroupsand UsersAPIの新しいドキュメントと更新されたドキュメントが公開されました。

新しいAVMドキュメント(バージョン21.6.2)

  • 新規および更新されたAVMドキュメントが公開されました。

ユニファイドエージェントパラメータのマージ(バージョン21.4.2)

このバージョン以降、nuget.runPreStepnuget.restoreDependenciesが結合されます。これは次のように機能します。nuget.runPreStep= trueの場合、見つかった.csprojファイルに対してドットネットの復元が実行されます。このマージの結果、nuget.restoreDependenciesは非推奨になります。

新しいUnifiedAgentドキュメント(バージョン20.10.2)

バージョン20.10.2(おおよそのリリース-11月8日)から、既存のコンテンツを更新し、不足しているギャップを埋め、線形フローを作成することを目的として、変更されたポリシーページが起動されました。

このページでは、2つの既存のポリシートピック(自動化されたポリシーSDLC全体でのポリシーの管理)をマージします。後者はアーカ​​イブされているため、使用されていません。

非推奨の通知

ドキュメンテーション

バージョン21.7.2

  • 以下のトピックの内容を移動しました。これらのトピックのページは非推奨になります。移動後、含まれる情報は変更されないことに注意してください

    • 新しいバージョンのアラートの内容は、プロジェクトページの理解に移動されました。

    • 高度な検索の内容は、脆弱性の理解と管理に移動されました。

バージョン21.7.1

  • 以下のトピックの内容を移動しました。これらのトピックのページは非推奨になります。移動後、含まれる情報は変更されないことに注意してください

    • Bitbucketでの新しいスキャントリガーの内容は、BitbucketServerのWhiteSourceに移動されました

    • セキュリティの脆弱性情報利用の内容は、セキュリティの脆弱性の理解と管理に移動されました。

バージョン21.5.2

次のページは非推奨になりました。

  • [Image Registries]セクション:

    • UA-Amazon Elastic Container Registry(ECR)-Docker統合

    • UA-Azure ContainerRegistryの統合

    • UA-Dockerイメージの統合

    • UA-Google Container RegistryDocker統合

    • UA-JFrog ArtifactoryDockerレジストリ統合

  • AVMのセクション:

    • Fortify / ThreadFixエージェントのAVMエージェントへの移行

バージョン21.4.2

このバージョン以降、次のページがアーカイブされたため、使用されなくなりました。

  • 任意のファイルを要求する 

  • GitHub関連トピック

  • ライセンス識別ページ-その内容はと合併したライブラリのライセンスを変更します

  • ライセンス解析ページ-その内容はUnderstanding Risk Score Attributionと合併します

  • ポリシーAPIのページは非推奨になり、新しく更新されたポリシーAPIページに置き換えられました

バージョン21.3.2

このバージョン以降、次のページがアーカイブされたため、使用されなくなりました。

  • 重大度の高いバグレポート

  • ファイルシステム

  • 入門

  • セットアッププロジェクト

  • 統合エージェントを使用してプロセスを自動化する

  • 推奨の機能は非推奨になり、コンテンツは通知ページに移動されました

  • ホームページの設定は非推奨になり、コンテンツはWhiteSource Home Pageトピックに移動されました。

バージョン21.2.2

このバージョン以降、次のページがアーカイブされたため、使用されなくなりました。

  • WhiteSourceはVisualStudioコードスペースについてアドバイスします

バージョン21.2.1

このバージョン以降、次のページがアーカイブされたため、使用されなくなりました。

  • Fortifyソフトウェアセキュリティセンターの統合

バージョン21.1.2

このバージョン以降、次の統合ページがアーカイブされたため、使用されなくなりました。そこに含まれる資料は、UnifiedAgentパラメータのドキュメントに含まれています。

  • 統合するプラグインの選択

  • ユニファイドエージェントスキャンでプロジェクト名のみを指定する

  • 構成推奨モード

  • ユニファイドエージェントスキャンの手順と概要

  • 統合エージェントJSONレポートの例

次のトピックは完全に非推奨になっているため、使用されなくなりました。

  • ドキュメントのヒント

  • Kubernetes FAQ

  • ThreadFix統合

  • Rubyプラグイン

  • Pythonプラグイン

  • NAntプラグイン

  • Gradleプラグイン

  • Bowerプラグイン

  • Bambooプラグイン

  • Antプラグイン

  • Fortifyソフトウェアセキュリティセンターの統合

バージョン20.12.2

バージョン20.12.2以降、以下の統合ページがアーカイブされたため、使用されなくなりました。そこに含まれる資料は、UnifiedAgentパラメータのドキュメントに含まれています。

  • Gradle

  • Maven

  • Python

バージョン20.12.1

バージョン20.12.1以降、以下の統合ページがアーカイブされるため、使用されなくなります。そこに含まれる資料は、UnifiedAgentパラメータのドキュメントに含まれています。

  • Bower

  • Cargo

  • Cocoapods

  • Haskell

  • Hex (Erlang/Elixir)

  • Ocaml

  • Paket

  • php

  • Poetry

  • Ruby

  • SBT

さらに、次のページがアーカイブされます。

  • 統合エージェントの以前のバージョン

  • 以前のGitHub統合

特徴

TeamCityプラグインの保守終了

TeamCityプラグインは、2021年11月1日から保守終了になりましあ。この日付以降、WhiteSourceは、非推奨のプラグインの更新や修正を含む標準サポートを提供しなくなります。構成とサポートのトラブルシューティングに限定された拡張サポートは、2022年5月1日まで継続されます。この日付以降、TeamCityプラグインはWhiteSourceでサポートされなくなります。完全なサポートを維持するには、2021年11月1日に標準サポートが終了する前に必ずUnifiedAgentに移行してください。

APIバージョン1.0以下

WhiteSourceは、2020年2月15日以降、より高度で安全なバージョン1.1、1.2、および1.3に道を譲るために、新しい開発のためにAPIバージョン1.0以下を非推奨にします。1.0バージョン以下のサポートは、その日(2020年8月15日)から6か月で終了します。

さらに、2020年2月15日、WhiteSourceは、契約に従って、顧客ごとのAPI使用量のクォータ制限の適用を開始します。これらの変更に応じて準備してください。ご質問やご不明な点がございましたら、WhiteSourceサポートにお問い合わせください。 

IntelliJ Old Plugin End of Life

2020年7月12日、WhiteSourceはIntelliJ用のWhiteSource Adviseの古いプラグインバージョンを非推奨にします(ここを参照 )。

新しいWhiteSourceAdviseプラグインは、IntelliJ IDEAマーケットプレイス(ここを参照)から直接入手できます 。これには、古いプラグインと同じ機能に加えて、機能の改善とパフォーマンス関連の機能強化が含まれています。

古いプラグインを削除してから新しいプラグインのみをインストールして、必ず新しいプラグインに移行してください。詳細については、ドキュメント を参照して ください。

NuGetプラグインの保守終了

200を超える言語のサポートを提供するWhiteSourceUnified Agentの幅広い機能により、NuGetプラグインは2020年10月1日からサービス終了になります。

この日付以降、WhiteSourceは、非推奨のプラグインの更新や修正を含む標準サポートを提供しなくなります。構成とサポートのトラブルシューティングに限定された拡張サポートは、2021年4月1日まで継続されます。この日付以降、NuGetプラグインはWhiteSourceでサポートされなくなります。製品の完全なサポートを維持するために、2020年10月1日に標準サポートが終了する前に必ずUnifiedAgentに移行してください。  

JfrogXray統合サポート

JFrogの脆弱性データ統合戦略が変更されました。オープンソースライブラリをスキャンするソリューションのサードパーティプロバイダーとの統合は利用できなくなります。したがって、WhiteSourceのXray 統合 は非推奨になります。

XrayをWhiteSourceと統合している共有顧客は、JFrogによってサポートまたは保守されなくなります。JFrog Artifactory(JFrog Xrayとは独立)との既存の統合は影響を受けないことに注意してください。WhiteSourceは、オープンソースソフトウェアの脆弱性を検出するためにサポートされているさまざまな統合を引き続き使用することをお勧めします。詳細については、  support @ whitesourcesoftware.comにお問い合わせください

NPMとMavenGitHubリポジトリ-可視性の変更

NPMおよびMavenプラグインの廃止に伴い、既存のGitHubリポジトリの表示が「プライベート」に変更されました。

脆弱なメソッドの非推奨

場合によっては、脆弱性は脆弱なクラスまたはメソッドの非推奨によって修正されます。その範囲で、WhiteSourceは、他の公式アドバイザリとして、関連するバージョンで修正された脆弱性をマークします。このような場合、脆弱性は脆弱なメソッドに「@Deprecated」を追加することで修正されます。

例:

パラメーター

  • バージョン21.2.2では、新しいパラメーターfileSystemScanが非推奨のignoreSourceFilesに置き換わります。

AzureDevOpsサービスの統合

バージョン21.6.2

AzureDevOps統合の主な改善点が導入されました。基盤となるスキャンメカニズムが変更され、AzureDevOpsパイプライン内から直接WhiteSourceスキャンができるようになりました。この変更の一環として、次の更新が導入されました。

  • 拡張機能のアクティブ化手順は、[組織の設定]> [拡張機能]> [WhiteSource]ページに移動して、[組織の設定] セクションに移動しました 。

  • [プロジェクト> [パイプライン]の下の[WhiteSource]タブは非推奨になりました。

  • WhiteSource オープンソースリスクレポート は、Azure DevOpsビルドレベルでのみ利用可能であり、プロジェクトレベルの集計レポートは非​​推奨です。

  • Azure DevOpsパイプライン内からの直接WhiteSourceスキャンが、現在唯一のスキャンオプションです。

スキャン結果

GOスキャン結果

WhiteSourceのGOプロジェクトのサポートを理解するために考慮すべき3つの主要な課題があります。

  • コミットは、高い確率(1日に数回)でGOリポジトリにプッシュされます。

  • GOリポジトリのサイズは比較的大きいです。

  • GOには、「最新」パッケージを使用するオプションがあります。これは、リポジトリにプッシュされた最新のコミットを意味します。

これらの3つの要因の組み合わせにより、GOプロジェクトをスキャンするときに問題が発生し、使用された正確なコミットを取得すると、GOプロジェクトのWhiteSourceスキャンに非常に長い時間がかかります。

上記の課題を克服するために、指定されたSHA-1がWhiteSourceによってすぐに認識されない場合は常に、WhiteSourceが要求された正確なコミットをインポートしている間に概算の結果が提供されます。ホワイトソースUIに概算の結果としてライブラリが表示される場合は常に、正確なコミットがバックグラウンドでインポートされている間、ライブラリの詳細ページに免責事項とともに表示されます。正確なコミットがインポートされると、インベントリ内のおおよその結果が自動的に置き換えられます。

ユニファイドエージェント

その他

バージョン21.7.1

  • 次ユニファイドエージェントのリリースでのインクルードとエクスクルードおよびパラメーターの動作は、メインルートパスを基準にして値を照合することにより、projectPerFolderパラメーターの使用に関して修正されます。  

  • Unified Agentの次の2つのリリースでは、デフォルト設定にいくつかの改善が導入されます。

    • インクルードパラメータは、すべてのUnified Agentの設定方法(などの環境変数、設定ファイル)に適用されるデフォルト値(すべてWhiteSourceの備える拡張機能をサポート)です。  

    • エクスクルードパラメータはデフォルト値(**/.*, **/node_modules, **/src/test, **/testdata, **/*sources.jar, **/*javadoc.jar)を持つことになります

  • Unified Agentの次の2つのリリースでは、Goモジュールの最適化されたリゾルバーをデフォルトで有効にすることにより、Goの依存関係の検出が改善されます。さらに、Go解決はGoソースファイルによってトリガーされなくなり、パッケージマネージャーのマニフェストファイルによってのみトリガーされるように他のリゾルバーに調整されます。

バージョン21.6.2

  • 8月1日以降、UnifiedAgentバージョンはリリース後1年間利用可能になります。  

  • Unified Agentの次の2つのリリースでは、php.removeDuplicateDependenciesパラメータのデフォルト値がfalseからtrueに変更されます。

  • Unified Agentの次の2つのリリースでは、エージェントによって実行されるGradleコマンドに追加する追加の引数を指定するためのgradle.additionalArgumentsパラメーターがすべてのGradleコマンドに適用されます(gradle依存関係コマンドだけでなく)。 

  • Unified Agentの次の2つのリリースでは、関連するパッケージマネージャーがインストールされていない場合、スキャンに失敗してfailErrorLevelがALLに設定されている場合、Maven、OCaml、Modules、およびRリゾルバーは他の検出器の動作に合わせて調整されます。

ダイレクトリンクを使用してUnifiedAgent.jarファイルをダウンロードするお客様への通知

リリース19.7.1以降、新しいUnified Agent.jarダウンロードリンク のみが機能するようになることに注意してください 。

さらに支援が必要な場合は、WhiteSourceサポートに連絡してください。

脆弱性に関する通知

SpringHTTP呼び出し元

お客様への注意:Springは、バージョン4.1で見つかった脆弱性CVE-2016-1000027が将来のバージョンで修正されないことを発表しました。詳細については、以下を参照してください。 

Spring HTTP呼び出し側は、独自のスリムなシリアル化メカニズムを使用し、標準のJavaシリアル化メカニズムを使用してHTTPを介してサービスを公開する軽量プロトコルです。引数と戻り型が、Hessianが使用するシリアル化メカニズムを使用してシリアル化できない複雑な型である場合、これには大きな利点があります(リモート技術を選択する際の考慮事項については、次のセクションを参照してください)。

内部的には、SpringはJDKまたはApacheHttpComponentsが提供する標準機能を使用してHTTP呼び出しを実行します。より高度で使いやすい機能が必要な場合は、後者を使用してください。詳細については、hc.apache.org / httpcomponents-client-ga / を参照 してください。

安全でないJava逆シリアル化による脆弱性に注意してください。操作された入力ストリームは、逆シリアル化ステップ中にサーバー上で不要なコード実行を引き起こす可能性があります。結果として、HTTP呼び出し側エンドポイントを信頼できないクライアントに公開しないでください。むしろ、あなた自身のサービスの間でのみそれらを公開してください。一般に、代わりに他のメッセージ形式(JSONなど)を使用することを強くお勧めします。

Javaシリアル化によるセキュリティの脆弱性が懸念される場合は、コアJVMレベルの汎用シリアル化フィルターメカニズムを検討してください。元々はJDK 9用に開発されましたが、当面はJDK 8、7、6にバックポートされます。https://blogs.oracle.com/java-platform-group/entry/incoming_filter_serialization_data_a  およびhttps://openjdk.java.net/jeps/290を参照 して ください

.NETCoreおよびASP.NETCoreDLLファイル

この通知は、次のCVEに関するものです。

CVEリファレンス

問題リファレンス

影響を受ける環境

上記の問題は、脆弱なDLLライブラリを含むNuGetパッケージのいくつかの名前とバージョン、および固定DLLライブラリを含むNuGetパッケージのバージョンに関連しています。ただし、SHA-1識別子によると、脆弱なDLLライブラリの一部は、修正されたNuGetパッケージの他のディレクトリにまだ存在しています。したがって、各NuGetパッケージの固定バージョンは、無条件に 脆弱ではないが、ランタイム環境の仕様によっては潜在的に 脆弱なパッケージを指します。

脆弱なDLLライブラリがまだロードされている可能性があり、NuGetパッケージのビルド後にWhiteSourceがDLLライブラリのSHA-1識別子を取得するという事実を考慮して、上記の脆弱性は引き続きWhiteSourceによって報告されるため、ユーザーは環境は脆弱ではありません。

例: 

Microsoftによると、CVE-2017-0247で見つかった脆弱性は、 以下のSHA-1識別子を持つ脆弱なDLLライブラリを参照しており、バージョン4.0.1および4.3.0に存在し、バージョン4.0.2および4.3で修正されました。 'System.Net.Http.WinHttpHandler'NuGetパッケージの1つ。ただし、その下にあるバージョン4.4.0の「System.Net.Http.WinHttpHandler」NuGetパッケージには、脆弱なDLLファイルがまだ含まれていることがわかります。 


System.Net.Http.WinHttpHandler NuGetパッケージのバージョン4.3.0: 

..。

'System.Net.Http.WinHttpHandler' NuGetパッケージのバージョン4.4.0:

..。

CVEおよびWS脆弱性識別子

多くの人が知っているように、OSSの脆弱性は複数のアドバイザリで公開されています。NationalVulnerabilityDatabase(NVD)は、既知のセキュリティ脆弱性のプライマリデータベースとして一般に認められていますが、アドバイザリからのデータの採用はほぼ間違いなく遅いです。報告されたセキュリティの脆弱性をより広範囲にカバーするために、WhiteSourceはNVDだけに依存しているのではなく、数十の追加ソースからの脆弱性データも確認しています。NVDは「CVE-」プレフィックス付き識別子を使用してセキュリティの脆弱性を公開しますが、Wh​​iteSourceは「WS-」プレフィックスを使用して非NVDセキュリティ脆弱性を分類します。最近、NVD機能が追加のソースをサポートしていることに気付きました。

何が変更されていますか?

脆弱性の重複した冗長な識別子(つまり、同じ脆弱性を参照する「WS-」および「CVE-」エントリ)を回避するために、WhiteSourceは非NVDの「WS-」エントリを対応するNVDの「CVE-」に置き換えます。関連するCVEメタデータを特徴とするエントリ。これにより、お客様は、NVDから直接関連する脆弱性の拡張されたカバレッジの恩恵を受けることができます。新しいCVEは、NVDによって「CVE-2018-」プレフィックスが付けられて割り当てられました。

レポートまたはアラートは影響を受けますか?

(npmパッケージのみ)お客様は、以前WhiteSourceのディスプレイおよびレポートで紹介されていた「WS-」エントリの一部またはすべてがインベントリに表示されなくなったことに気付く場合があります。このような「WS-」エントリは、対応する「CVE-」識別子とともに一覧表示され、NVDからの脆弱性メタデータを特徴としています。これらの脆弱性については、重大度とスコアが変更される可能性があります。以前に「WS-」を使用してマークされた脆弱性に関連する新しいアラート「識別子は「CVE-」情報とともにトリガーされます。

HTTP / 2サービス拒否の脆弱性

概要

HTTP / 2は、World WideWebで使用されるHTTPネットワークプロトコルのメジャーリビジョンです。HTTP / 2仕様は2015年5月にRFC7540として公開されました。HTTP/ 2は、アプリケーション内で以前に行われたHTTP / 1.1回避策の多くを元に戻し、これらの懸念に対処できるようにすることで、アプリケーションをより速く、よりシンプルに、より堅牢にします。トランスポート層自体。さらに良いことに、アプリケーションを最適化し、パフォーマンスを向上させるためのまったく新しい機会も数多く開かれます。

HTTP / 2の主な目標は、完全な要求と応答の多重化を有効にすることで遅延を減らし、HTTPヘッダーフィールドの効率的な圧縮によってプロトコルのオーバーヘッドを最小限に抑え、要求の優先順位付けとサーバープッシュのサポートを追加することです。これらの要件を実装するために、新しいフロー制御、エラー処理、アップグレードメカニズムなど、他のプロトコル拡張機能の大規模なサポートキャストがありますが、これらはすべてのWeb開発者が理解してアプリケーションで活用する必要がある最も重要な機能です。

HTTP / 2は、HTTPのアプリケーションセマンティクスを変更しません。HTTPメソッド、ステータスコード、URI、ヘッダーフィールドなど、すべてのコアコンセプトはそのまま残ります。代わりに、HTTP / 2は、データのフォーマット(フレーム化)とクライアントとサーバー間の転送方法を変更します。どちらもプロセス全体を管理し、新しいフレーミングレイヤー内のアプリケーションからすべての複雑さを隠します。その結果、既存のすべてのアプリケーションを変更せずに提供できます。

サービス拒否の脆弱性の発見

Netflixは、さまざまなサードパーティのHTTP / 2実装に影響を与えるいくつかのリソース枯渇ベクトルを発見しました。これらの攻撃ベクトルは、HTTP / 2通信をサポートするサーバーに対してDoS攻撃を仕掛けるために使用できます。NetflixはGoogleおよびCERT / CCと協力して、インターネットコミュニティへの開示を調整しました。多くのベンダーが、この次善の動作を修正するためのパッチを発表しています。

影響

情報セキュリティには、機密性(許可されていない人が情報を読み取ることができない)、整合性(許可されていない人が情報を変更できない)、可用性(情報とシステムが必要なときに利用できる)の3つの広い領域があります。本日発表されたすべての変更は、「可用性」カテゴリに含まれます。これらのHTTP / 2の脆弱性により、攻撃者が情報を漏えいしたり変更したりすることはできません。

むしろ、接続参加者が追加の作業を行うのを防ぐために、少数の低帯域幅の悪意のあるセッションを許可します。これらの攻撃はリソースを使い果たし、同じマシン上の他の接続やプロセスも影響を受けたりクラッシュしたりする可能性があります。

脆弱性

  • CVE-2019-9511  「データドリブル」:攻撃者は、指定されたリソースから複数のストリームを介して大量のデータを要求します。ウィンドウサイズとストリームの優先度を操作して、サーバーに1バイトのチャンクでデータをキューに入れさせます。このデータがどれだけ効率的にキューに入れられるかに応じて、これは過剰なCPU、メモリ、またはその両方を消費し、サービス拒否につながる可能性があります。
    CVSS 3.xスコア: 7.5 HIGH

  • CVE-2019-9512  「 PingFlood」:攻撃者は継続的なpingをHTTP / 2ピアに送信し、ピアに応答の内部キューを構築させます。このデータがどれだけ効率的にキューに入れられるかに応じて、これは過剰なCPU、メモリ、またはその両方を消費し、サービス拒否につながる可能性があります。
    CVSS 3.xスコア:7.5 HIGH

  • CVE-2019-9513  「リソースループ」:攻撃者は複数のリクエストストリームを作成し、優先度ツリーに実質的なチャーンを引き起こす方法でストリームの優先度を継続的にシャッフルします。これにより、過剰なCPUが消費され、サービス拒否につながる可能性があります。
    CVSS 3.xスコア: 7.5 HIGH

  • CVE-2019-9514  「フラッドのリセット」:攻撃者は多数のストリームを開き、ピアからRST_STREAMフレームのストリームを要求する必要がある各ストリームに対して無効なリクエストを送信します。ピアがRST_STREAMフレームをキューに入れる方法によっては、これにより過剰なメモリ、CPU、またはその両方が消費され、サービス拒否につながる可能性があります。
    CVSS 3.xスコア: 7.5 HIGH

  • CVE-2019-9515  「設定フラッド」:攻撃者はSETTINGSフレームのストリームをピアに送信します。RFCでは、ピアがSETTINGSフレームごとに1つの確認応答で応答する必要があるため、空のSETTINGSフレームの動作はpingとほぼ同じです。このデータがどれだけ効率的にキューに入れられるかに応じて、これは過剰なCPU、メモリ、またはその両方を消費し、サービス拒否につながる可能性があります。
    CVSS 3.xスコア:7.5 HIGH

  • CVE-2019-9516  「長さ0のヘッダーリーク」:攻撃者は、長さ0のヘッダー名と長さ0のヘッダー値、オプションで1バイト以上のヘッダーにエンコードされたハフマンを含むヘッダーのストリームを送信します。一部の実装では、これらのヘッダーにメモリを割り当て、セッションが終了するまで割り当てを維持します。これにより、過剰なメモリが消費され、サービス拒否につながる可能性があります。
    CVSS 3.xスコア: 7.5 HIGH

  • CVE-2019-9517  「内部データバッファリング」:攻撃者はHTTP / 2ウィンドウを開いて、ピアが制約なしに送信できるようにします。ただし、TCPウィンドウを閉じたままにするため、ピアは実際に(多くの)バイトをワイヤに書き込むことができません。次に、攻撃者は大きな応答オブジェクトに対する要求のストリームを送信します。サーバーが応答をキューに入れる方法によっては、これにより過剰なメモリ、CPU、またはその両方が消費され、サービス拒否につながる可能性があります。
    CVSS 3.xスコア: 7.5 HIGH

  • CVE-2019-9518  「 EmptyFramesFlood」:攻撃者は、ペイロードが空で、ストリーム終了フラグのないフレームのストリームを送信します。これらのフレームは、DATA、HEADERS、CONTINUATION、および/またはPUSH_PROMISEにすることができます。ピアは、帯域幅を攻撃するために不均衡な各フレームの処理に時間を費やします。これにより、過剰なCPUが消費され、サービス拒否につながる可能性があります。
    CVSS 3.xスコア: 7.5 HIGH

脆弱なプロジェクト

計画

脆弱性

脆弱なバージョン

緩和

計画

脆弱性

脆弱なバージョン

緩和

Apacheトラフィックサーバー

CVE-2019-9511、CVE-2019-9512、CVE-2019-9513、CVE-2019-9514、CVE-2019-9515、CVE-2019-9516、CVE-2019-9517、CVE-2019-9518。

6.xでは:  6.0 - 6.2.3
の7.x:  7.0 - 7.1.6
8.xの:  8.0 - 8.1.3

6.x: 利用可能な修正はありません。
7.x:7.1.7  (パッチ)に アップグレードし ます。8.x:8.1.4  (パッチ)に アップグレードし ます。

行け

CVE-2019-9512、CVE-2019-9514。 公式ウェブサイトアドバイザリ

1.11.x:  1.11.0-1.11.12
1.12.x:  1.12.0-1.12.7

1.11.x:1.11.13  (パッチ)に アップグレードし ます。1.12.x:1.12.8  (パッチ)に アップグレードし ます。

H2O

CVE-2019-9512、CVE-2019-9514、CVE-2019-9515。 公式ウェブサイトアドバイザリ

2.2.xの:  2.2.0 - 2.2.5
2.3.x以降:  2.3.0-β1

2.2.x:2.2.6  (パッチ)に アップグレードし ます。2.3.x:2.3.0- beta2  (パッチ)に アップグレードし ます。

Eclipse Jetty

CVE-2019-9511、CVE-2019-9512、CVE-2019-9513、CVE-2019-9514、CVE-2019-9515、CVE-2019-9516、CVE-2019-9517、CVE-2019-9518。 公式ウェブサイトアドバイザリ

9.3.x-9.4.20

9.4.21  (パッチ)にアップグレードし ます。

Netty

CVE-2019-9512、CVE-2019-9514、CVE-2019-9515、CVE-2019-9518。 公式ウェブサイトアドバイザリ

4.1.0-beta4-4.1.38

4.1.39にアップグレードし ます (パッチ1  [ 9512、9514、9515 ]、 パッチ2  [9518])。

Nghttp2

CVE-2019-9511、CVE-2019-9513。 公式ウェブサイトアドバイザリ

0.1.0-1.39.1

1.39.2にアップグレードし ます (パッチ-1、 パッチ-2)。

NGINX

CVE-2019-9511、CVE-2019-9513、CVE-2019-9516。 公式ウェブサイトアドバイザリ

注:リリース(XYZ)は2つのタイプに分けられます:Yが2で割り切れる場合-安定、それ以外の場合-メインライン。
安定:  0.2.x-1.16.0
メインライン:   0.1.x-1.17.2

安定:  1.16.1にアップグレードし ます (パッチ1  [9511]、 パッチ2  [9513]、 パッチ3  [9516])。
メインライン:1.17.3に アップグレードします  (パッチ1  [9511]、 パッチ2  [9513]、 パッチ3  [9516])。

NodeJS

CVE-2019-9511、CVE-2019-9512、CVE-2019-9513、CVE-2019-9514、CVE-2019-9515、CVE-2019-9516、CVE-2019-9517、CVE-2019-9518。 公式ウェブサイトアドバイザリ

8.x:  8.0.0-8.16.0
10.x:  10.0.0-1.16.2
12.x:  12.0.0-12.8.0 

8.x:8.16.1に アップグレードし ます (パッチ1  [ 9511、9517 ]、 パッチ2  [9511、9517]、 パッチ3  [9512、9515]、 パッチ4  [9512、9515]、 パッチ5  [ 9513]、  patch-6  [9513]、  patch-7  [9514]、  patch-8  [9514]、  patch-9  [9516]、  patch-10  [9518])。
10.x:10.16.3に アップグレードし ます (パッチ1  [ 9511、9517 ]、 パッチ2  [9511、9517]、 パッチ3  [9512、9515]、 パッチ4  [9512、9515]、 パッチ5  [ 9513]、 パッチ-6 [9513]、  patch-7  [9514]、  patch-8  [9514]、  patch-9  [9516]、  patch-10  [9518])。
12.x:12.8.1に アップグレードし ます (パッチ1  [ 9511、9517 ]、 パッチ2  [9511、9517]、 パッチ3  [9512、9515]、 パッチ4  [9512、9515]、 パッチ5  [ 9513]、  patch-6  [9513]、  patch-7  [9514]、  patch-8  [9514]、  patch-9  [9516]、  patch-10  [9518])。

脆弱なコードのない.Netパッケージ

脆弱な要素を含まないNuGetパッケージは、複数のMicrosoftアドバイザリによって脆弱であるとマークされる場合があります。これは、次の2つの理由のいずれかで発生します。

  • パッケージはメタパッケージです 。メタパッケージは、コードを含まず、他のパッケージのみを参照するパッケージです。パッケージにはコードが含まれていないため、パッケージ自体に脆弱な要素を含めることはできず、WhiteSourceは脆弱な要素を表示しません。

    たとえば、このMicrosoft Advisoryによると 、  Microsoft.NETCore.App はCVE-2020-0603に対して脆弱 です。しかし、これが唯一のケースです Microsoft.NETCore.Appを 参照し Microsoft.AspNetCore.All と Microsoft.AspNetCore.App 実際の脆弱パッケージです。 Microsoft.NETCore.App 自体には実際の脆弱なコードが含まれていないため、WhiteSourceによって脆弱としてマークされることはありません。

  • パッケージは、特定のランタイム依存関係を使用している場合にのみ脆弱です 。

    たとえば、このMicrosoftアドバイザリによると 、  Microsoft.AspNetCore.Mvc は脆弱です。ただし、Microsoft.AspNetCore.Mvcの脆弱なバージョンと修正されたバージョンを比較すると、 まったく同じコード実装が含まれていることがわかります。つまり、このパッケージ内のDLLには脆弱なコードは存在せず、使用するランタイムの依存関係に存在します。

WhiteSourceは上記に関してMicrosoftの関係者に連絡し、Microsoftの関係者はWhiteSourceの分析が正しいことを確認しました。マイクロソフトは、意識を高めるために、上記のケースを脆弱なものとして扱います。マイクロソフトでは、特定のパッケージのみを更新するのではなく、すべての脆弱な依存関係が確実に更新されるようにメタパッケージを更新することをお勧めします。ランタイムの依存関係についても同じアプローチが推奨されます。Microsoftは、特定のパッケージを参照するのではなく、ランタイムの重要な環境パッケージ全体を更新することを推奨しています。

参考文献

Azure DevOps

Azure DevOps統合の主な改善点は、2021年7月に導入されます。基盤となるスキャンメカニズムが変更され、AzureDevOpsパイプライン内から直接WhiteSourceスキャンができるようになります。この変更の一環として、次の更新が導入されます。

  • 拡張機能のアクティブ化手順は、[組織の設定]> [拡張機能]> [WhiteSource]ページに移動して、[ 組織の設定] セクションに移動します。

  • [プロジェクト> [パイプライン]の下の[WhiteSource]タブは非推奨になります。

  • WhiteSource オープンソースリスクレポート は、Azure DevOpsビルドレベルでのみ利用可能であり、プロジェクトレベルの集計レポートは非​​推奨になります。

  • Azure DevOpsパイプライン内からの直接WhiteSourceスキャンが、唯一のスキャンオプションになります。