apache/fluo 软件分析报告

基础信息

项目名称:apache/fluo

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1727361742383566848/1727361742442287104

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
Eclipse Jetty 资源管理错误漏洞 拒绝服务 MPS-0e59-bdsi CVE-2023-36478 高危
io.netty:netty-handler 存在证书验证不恰当漏洞 证书验证不恰当 MPS-2022-12067 中危
org.freemarker:freemarker 代码注入 MPS-2022-12438 高危
Netty 存在信息泄露漏洞 将资源暴露给错误范围 MPS-2022-3790 CVE-2022-24823 中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
Apache Commons Text 反序列化 MPS-2022-59712 CVE-2022-42889 严重
snakeYAML 反序列化 MPS-2022-9425 CVE-2022-1471 高危
Eclipse Jetty 资源管理错误漏洞 拒绝服务 MPS-2023-4997 CVE-2023-26048 中危
Eclipse Jetty 信息泄露漏洞 XSS MPS-2023-4998 CVE-2023-26049 中危
Eclipse Jetty 安全漏洞 MPS-49ot-3w07 CVE-2023-40167 中危
Apache Accumulo 身份认证过程缺陷 身份验证不当 MPS-5l0p-exd9 CVE-2023-34340 中危
snappy-java 输入验证错误漏洞 整数溢出或环绕 MPS-8znw-4jmi CVE-2023-34453 高危
Netty 资源管理错误漏洞 不加限制或调节的资源分配 MPS-9u07-bna1 CVE-2023-34462 中危
snappy-java 的 compress 方法整数溢出漏洞导致拒绝服务 整数溢出或环绕 MPS-angp-mxl2 CVE-2023-34454 中危
Hot Rod 安全漏洞 证书验证不恰当 MPS-b7oj-adm3 CVE-2023-4586 高危
ZooKeeper SASL 身份验证绕过漏洞 通过用户控制密钥绕过授权机制 MPS-bznr-672x CVE-2023-44981 高危
Snappy 安全漏洞 不加限制或调节的资源分配 MPS-s7wb-p03z CVE-2023-43642 高危
Snappy 输入验证错误漏洞 不加限制或调节的资源分配 MPS-tnp7-60hk CVE-2023-34455 高危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
io.netty:netty-handler 4.1.73.Final 间接依赖 建议修复
org.freemarker:freemarker 2.3.27-incubating 2.3.30 间接依赖 建议修复
org.apache.zookeeper:zookeeper 3.8.0 3.8.3 直接依赖 建议修复
org.eclipse.jetty:jetty-server 11.0.12 11.0.14 间接依赖 建议修复
org.apache.commons:commons-text 1.9 1.10.0 间接依赖 建议修复
org.yaml:snakeyaml 1.33 2.0 间接依赖 建议修复
org.xerial.snappy:snappy-java 1.1.8.2 1.1.10.4 间接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.13.4.2 间接依赖 建议修复
org.apache.accumulo:accumulo-core 2.1.0 2.1.1 直接依赖 可选修复
org.eclipse.jetty:jetty-http 11.0.12 11.0.16 间接依赖 可选修复
io.netty:netty-common 4.1.73.Final 4.1.77.Final 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
LGPL-2.1 1
MPL-1.1 1
Apache-2.0 86
EPL-2.0 26
自定义许可证 6
EPL-1.0 3
BSD-3-Clause 1
GPL-2.0-with-classpath-exception 1
MIT 3
BSD-2-Clause 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
org.javassist:javassist 3.28.0-GA 间接依赖 maven
com.fasterxml.jackson.module:jackson-module-jakarta-xmlbind-annotations 2.13.3 间接依赖 maven
org.apache.fluo:fluo-api 2.1.0-SNAPSHOT 直接依赖 maven
com.google.j2objc:j2objc-annotations 2.8 间接依赖 maven
com.google.guava:failureaccess 1.0.1 间接依赖 maven
org.glassfish.jersey.containers:jersey-container-servlet-core 3.0.8 间接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.13.4 间接依赖 maven
jakarta.el:jakarta.el-api 4.0.0 间接依赖 maven
aopalliance:aopalliance 1.0 间接依赖 maven
com.google.guava:listenablefuture 9999.0-empty-to-avoid-conflict-with-guava 间接依赖 maven
org.apache.commons:commons-lang3 3.12.0 间接依赖 maven
org.apache.fluo:fluo-accumulo 2.1.0-SNAPSHOT 直接依赖 maven
junit:junit 4.13.2 直接依赖 maven
jakarta.servlet:jakarta.servlet-api 5.0.0 间接依赖 maven
com.google.guava:guava 32.0.0-jre 直接依赖 maven
org.mpierce.metrics.reservoir:hdrhistogram-metrics-reservoir 1.1.0 直接依赖 maven
com.google.protobuf:protobuf-java 3.21.7 间接依赖 maven
commons-logging:commons-logging 1.2 间接依赖 maven
io.netty:netty-tcnative-classes 2.0.48.Final 间接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.13.4.2 间接依赖 maven
jakarta.ws.rs:jakarta.ws.rs-api 3.0.0 间接依赖 maven
org.eclipse.jetty:jetty-servlet 11.0.12 间接依赖 maven
io.micrometer:micrometer-core 1.9.5 间接依赖 maven
javax.inject:javax.inject 1 间接依赖 maven
org.apache.curator:curator-framework 4.3.0 直接依赖 maven
org.glassfish.jersey.core:jersey-client 3.0.8 间接依赖 maven
org.glassfish.jersey.ext:jersey-bean-validation 3.0.8 间接依赖 maven
org.apache.accumulo:accumulo-core 2.1.0 直接依赖 maven
org.apache.accumulo:accumulo-server-base 2.1.0 间接依赖 maven
org.glassfish.hk2:hk2-utils 3.0.3 间接依赖 maven
io.netty:netty-transport-native-unix-common 4.1.73.Final 间接依赖 maven
ch.qos.logback:logback-core 1.2.10 间接依赖 maven
org.apache.accumulo:accumulo-monitor 2.1.0 间接依赖 maven
jakarta.inject:jakarta.inject-api 2.0.0 间接依赖 maven
org.apache.logging.log4j:log4j-1.2-api 2.19.0 直接依赖 maven
com.fasterxml:classmate 1.5.1 间接依赖 maven
com.beust:jcommander 1.82 直接依赖 maven
org.xerial.snappy:snappy-java 1.1.8.2 间接依赖 maven
org.apache.logging.log4j:log4j-core 2.19.0 直接依赖 maven
jakarta.annotation:jakarta.annotation-api 2.0.0 间接依赖 maven
org.apache.fluo:fluo-core 2.1.0-SNAPSHOT 直接依赖 maven
org.hibernate.validator:hibernate-validator 7.0.1.Final 间接依赖 maven
org.apache.fluo:fluo-mini 2.1.0-SNAPSHOT 直接依赖 maven
org.apache.hadoop:hadoop-client-runtime 3.3.4 间接依赖 maven
org.apache.fluo:fluo-mapreduce 2.1.0-SNAPSHOT 直接依赖 maven
com.sun.activation:jakarta.activation 2.0.1 间接依赖 maven
io.netty:netty-buffer 4.1.73.Final 间接依赖 maven
org.glassfish.hk2:hk2-locator 3.0.3 间接依赖 maven
org.apache.hadoop:hadoop-client-api 3.3.4 直接依赖 maven
org.apache.thrift:libthrift 0.17.0 直接依赖 maven
org.checkerframework:checker-qual 3.33.0 间接依赖 maven
org.apache.accumulo:accumulo-manager 2.1.0 间接依赖 maven
io.opentelemetry:opentelemetry-semconv 1.19.0-alpha 间接依赖 maven
org.eclipse.jetty:jetty-util 11.0.12 间接依赖 maven
org.apache.yetus:audience-annotations 0.12.0 间接依赖 maven
org.glassfish.jersey.ext:jersey-entity-filtering 3.0.8 间接依赖 maven
org.apache.accumulo:accumulo-compactor 2.1.0 间接依赖 maven
org.apache.commons:commons-math3 3.6.1 直接依赖 maven
io.dropwizard.metrics:metrics-graphite 3.2.6 直接依赖 maven
org.hamcrest:hamcrest-core 1.3 间接依赖 maven
io.netty:netty-transport 4.1.73.Final 间接依赖 maven
org.apache.logging.log4j:log4j-web 2.19.0 间接依赖 maven
org.apache.commons:commons-configuration2 2.8.0 直接依赖 maven
org.glassfish.jaxb:txw2 4.0.0 间接依赖 maven
org.apache.commons:commons-text 1.9 间接依赖 maven
io.netty:netty-transport-native-epoll 4.1.73.Final 间接依赖 maven
com.google.inject:guice 4.2.2 直接依赖 maven
org.apache.commons:commons-vfs2 2.9.0 间接依赖 maven
org.apache.accumulo:accumulo-gc 2.1.0 间接依赖 maven
org.slf4j:slf4j-api 2.0.3 直接依赖 maven
org.glassfish.jersey.core:jersey-common 3.0.8 间接依赖 maven
org.freemarker:freemarker 2.3.27-incubating 间接依赖 maven
org.eclipse.jetty:jetty-security 11.0.12 间接依赖 maven
ch.qos.logback:logback-classic 1.2.10 间接依赖 maven
org.apache.commons:commons-collections4 4.4 间接依赖 maven
commons-io:commons-io 2.11.0 直接依赖 maven
org.glassfish:jakarta.el 4.0.2 间接依赖 maven
io.netty:netty-codec 4.1.73.Final 间接依赖 maven
org.glassfish.jersey.inject:jersey-hk2 3.0.8 间接依赖 maven
io.netty:netty-common 4.1.73.Final 间接依赖 maven
io.opentelemetry:opentelemetry-context 1.19.0 间接依赖 maven
org.glassfish.jersey.media:jersey-media-json-jackson 3.0.8 间接依赖 maven
org.glassfish.hk2.external:aopalliance-repackaged 3.0.3 间接依赖 maven
org.apache.zookeeper:zookeeper-jute 3.8.0 直接依赖 maven
org.apache.datasketches:datasketches-memory 2.1.0 间接依赖 maven
org.apache.logging.log4j:log4j-api 2.19.0 间接依赖 maven
org.apache.datasketches:datasketches-java 3.3.0 间接依赖 maven
com.google.errorprone:error_prone_annotations 2.18.0 间接依赖 maven
org.yaml:snakeyaml 1.33 间接依赖 maven
com.google.code.findbugs:jsr305 3.0.2 间接依赖 maven
org.glassfish.hk2:hk2-api 3.0.3 间接依赖 maven
org.eclipse.jetty:jetty-server 11.0.12 间接依赖 maven
com.google.errorprone:error_prone_annotations 2.14.0 间接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.13.4 间接依赖 maven
org.glassfish.jersey.core:jersey-server 3.0.8 间接依赖 maven
org.eclipse.jetty:jetty-http 11.0.12 间接依赖 maven
org.apache.accumulo:accumulo-compaction-coordinator 2.1.0 间接依赖 maven
org.glassfish.hk2:osgi-resource-locator 1.0.3 间接依赖 maven
com.github.ben-manes.caffeine:caffeine 3.1.1 间接依赖 maven
jakarta.validation:jakarta.validation-api 3.0.0 间接依赖 maven
io.netty:netty-transport-classes-epoll 4.1.73.Final 间接依赖 maven
io.netty:netty-resolver 4.1.73.Final 间接依赖 maven
io.netty:netty-handler 4.1.73.Final 间接依赖 maven
org.apache.accumulo:accumulo-tserver 2.1.0 间接依赖 maven
org.eclipse.jetty:jetty-io 11.0.12 间接依赖 maven
org.apache.accumulo:accumulo-minicluster 2.1.0 直接依赖 maven
org.jboss.logging:jboss-logging 3.4.1.Final 间接依赖 maven
jakarta.xml.bind:jakarta.xml.bind-api 3.0.1 间接依赖 maven
org.apache.accumulo:accumulo-hadoop-mapreduce 2.1.0 直接依赖 maven
org.checkerframework:checker-qual 3.22.0 间接依赖 maven
org.hdrhistogram:HdrHistogram 2.1.10 间接依赖 maven
io.opentelemetry:opentelemetry-api 1.19.0 间接依赖 maven
org.latencyutils:LatencyUtils 2.0.3 间接依赖 maven
commons-codec:commons-codec 1.15 间接依赖 maven
io.netty:netty-tcnative 2.0.48.Final 间接依赖 maven
org.glassfish.jersey.ext:jersey-mvc 3.0.8 间接依赖 maven
org.eclipse.jetty.toolchain:jetty-jakarta-servlet-api 5.0.2 间接依赖 maven
com.google.code.gson:gson 2.9.1 直接依赖 maven
org.glassfish.jersey.ext:jersey-mvc-freemarker 3.0.8 间接依赖 maven
org.apache.logging.log4j:log4j-slf4j2-impl 2.19.0 直接依赖 maven
org.apache.zookeeper:zookeeper 3.8.0 直接依赖 maven
io.dropwizard.metrics:metrics-core 3.2.6 直接依赖 maven
org.apache.fluo:fluo-command 2.1.0-SNAPSHOT 直接依赖 maven
org.apache.accumulo:accumulo-start 2.1.0 间接依赖 maven
org.apache.curator:curator-recipes 4.3.0 直接依赖 maven
org.apache.curator:curator-client 4.3.0 直接依赖 maven
(0)
上一篇 2023年11月23日
下一篇 2023年11月23日

相关推荐

  • KnpLabs/snappy 软件分析报告

    基础信息 项目名称:KnpLabs/snappy 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1719502811309064192/1719502811606859776 此报告由Murphysec提供 漏洞列…

    软件分析 2023年11月1日
    0
  • hoodiehq/hoodie 软件分析报告

    基础信息 项目名称:hoodiehq/hoodie 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1718649381636063232/1718649381678006272 此报告由Murphysec提供 漏洞…

    软件分析 2023年10月29日
    0
  • privacyguides/privacyguides.org 软件分析报告

    基础信息 项目名称:privacyguides/privacyguides.org 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1746656594659803136/1746656594705940480 此报…

    软件分析 2024年1月15日
    0
  • python-telegram-bot/python-telegram-bot 软件分析报告

    基础信息 项目名称:python-telegram-bot/python-telegram-bot 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1757792352130703360/17577923521726…

    软件分析 2024年2月14日
    0
  • Huawei/containerops 软件分析报告

    基础信息 项目名称:Huawei/containerops 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1718688100497801216/1718688100535549952 此报告由Murphysec提…

    软件分析 2023年10月30日
    0