dmlc/xgboost 软件分析报告

基础信息

项目名称:dmlc/xgboost

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1717196305088512000/1757966516897402880

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
Eclipse Jetty 资源管理错误漏洞 拒绝服务 MPS-0e59-bdsi CVE-2023-36478 高危
Google protobuf 缓冲区错误漏洞 越界写入 MPS-2017-10841 CVE-2015-5237 高危
Red Hat JBoss Enterprise Application Platform 代码问题漏洞 反序列化 MPS-2019-12470 CVE-2019-10202 严重
jackson-mapper-asl XXE MPS-2019-15048 CVE-2019-10172 高危
Apache Log4j SocketServer反序列化漏洞 反序列化 MPS-2019-17271 CVE-2019-17571 严重
Google Guava 访问控制错误漏洞 关键资源权限分配不当 MPS-2020-17429 CVE-2020-8908 低危
Apache Log4j2 SmtpAppender证书验证不当漏洞 证书验证不恰当 MPS-2020-6684 CVE-2020-9488 低危
Google protobuf DOS漏洞 不正确的行为次序 MPS-2021-19066 CVE-2021-22569 中危
Netty Bzip2Decoder 存在资源穷尽漏洞 拒绝服务 MPS-2021-28116 CVE-2021-37136 高危
Netty 存在资源穷尽漏洞 拒绝服务 MPS-2021-28117 CVE-2021-37137 高危
Apache Log4j JMSAppender反序列化漏洞 反序列化 MPS-2021-38359 CVE-2021-4104 高危
io.netty:netty-handler 存在证书验证不恰当漏洞 证书验证不恰当 MPS-2022-12067 中危
Apache Log4j JDBCAppender SQL注入漏洞 SQL注入 MPS-2022-1444 CVE-2022-23305 严重
Apache Log4j Chainsaw反序列化漏洞 反序列化 MPS-2022-1445 CVE-2022-23307 高危
Apache Log4j 反序列化漏洞 反序列化 MPS-2022-1446 CVE-2022-23302 高危
Eclipse Jetty URI注入漏洞 注入 MPS-2022-18060 CVE-2022-2047 低危
Netty 存在信息泄露漏洞 将资源暴露给错误范围 MPS-2022-3790 CVE-2022-24823 中危
Jettison 拒绝服务 MPS-2022-57067 CVE-2022-40150 高危
Jettison 越界写入 MPS-2022-57068 CVE-2022-40149 高危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞 拒绝服务 MPS-2022-58654 CVE-2022-42004 中危
IBM WebSphere Application Server Liberty 存在拒绝服务漏洞 对因果或异常条件的不恰当检查 MPS-2022-59813 CVE-2022-3509 中危
Jettison 越界写入 MPS-2022-64973 CVE-2022-45685 高危
Eclipse Jetty 资源管理错误漏洞 拒绝服务 MPS-2023-4997 CVE-2023-26048 中危
Eclipse Jetty 信息泄露漏洞 XSS MPS-2023-4998 CVE-2023-26049 中危
Jettison 安全漏洞 未经控制的递归 MPS-2023-8270 CVE-2023-1436 高危
Eclipse Jetty 安全漏洞 MPS-49ot-3w07 CVE-2023-40167 中危
snappy-java 输入验证错误漏洞 整数溢出或环绕 MPS-8znw-4jmi CVE-2023-34453 高危
Netty 资源管理错误漏洞 不加限制或调节的资源分配 MPS-9u07-bna1 CVE-2023-34462 中危
snappy-java 的 compress 方法整数溢出漏洞导致拒绝服务 整数溢出或环绕 MPS-angp-mxl2 CVE-2023-34454 中危
ZooKeeper SASL 身份验证绕过漏洞 通过用户控制密钥绕过授权机制 MPS-bznr-672x CVE-2023-44981 高危
Guava 创建拥有不安全权限的临时文件 MPS-mfku-xzh3 CVE-2023-2976 中危
Snappy 安全漏洞 不加限制或调节的资源分配 MPS-s7wb-p03z CVE-2023-43642 高危
Snappy 输入验证错误漏洞 不加限制或调节的资源分配 MPS-tnp7-60hk CVE-2023-34455 高危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
org.xerial.snappy:snappy-java 1.1.8.2 1.1.10.4 间接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.12.6.1 间接依赖 建议修复
org.codehaus.jackson:jackson-mapper-asl 1.9.13 间接依赖 建议修复
org.codehaus.jettison:jettison 1.1 1.5.4 间接依赖 建议修复
com.google.protobuf:protobuf-java 2.5.0 3.16.3 间接依赖 建议修复
com.google.guava:guava 27.0-jre 32.0.0-jre 间接依赖 建议修复
org.eclipse.jetty:jetty-server 9.4.51.v20230217 9.4.51 间接依赖 建议修复
org.apache.zookeeper:zookeeper 3.6.3 3.7.2 间接依赖 建议修复
io.netty:netty-codec 4.1.63.Final 4.1.68.Final 间接依赖 建议修复
log4j:log4j 1.2.17 间接依赖 建议修复
io.netty:netty-handler 4.1.63.Final 4.1.94.final 间接依赖 建议修复
org.eclipse.jetty:jetty-http 9.4.51.v20230217 11.0.16 间接依赖 可选修复
io.netty:netty-common 4.1.63.Final 4.1.77.Final 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
CDDL-1.1 10
GPL-2.0-with-classpath-exception 4
Apache-2.0 103
EPL-1.0 9
EDL-1.0 1
MIT 8
BSD-2-Clause 3
BSD-3-Clause 10
GPL-3.0 1
Go 1
MPL-2.0 1
自定义许可证 3
GPL-2.0 1
MPL-1.1 1
LGPL-2.1 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
com.sun.xml.bind:jaxb-impl 2.2.3-1 间接依赖 maven
javax.xml.bind:jaxb-api 2.2.2 间接依赖 maven
com.google.code.gson:gson 2.9.0 间接依赖 maven
Callable 间接依赖 pip
org.eclipse.jetty:jetty-security 9.4.51.v20230217 间接依赖 maven
Dict 间接依赖 pip
com.google.guava:failureaccess 1.0 间接依赖 maven
org.apache.kerby:kerb-simplekdc 1.0.1 间接依赖 maven
jakarta.activation:jakarta.activation-api 1.2.1 间接依赖 maven
org.slf4j:slf4j-api 1.7.36 间接依赖 maven
org.apache.hadoop:hadoop-common 3.3.6 直接依赖 maven
com.google.guava:listenablefuture 9999.0-empty-to-avoid-conflict-with-guava 间接依赖 maven
net.sourceforge.f2j:arpack_combined_all 0.1 间接依赖 maven
ch.qos.reload4j:reload4j 1.2.22 间接依赖 maven
ReturnCode 间接依赖 pip
com.esotericsoftware.kryo:kryo 2.24.0 间接依赖 maven
org.apache.zookeeper:zookeeper 3.6.3 间接依赖 maven
javax.xml.stream:stax-api 1.0-2 间接依赖 maven
com.google.re2j:re2j 1.1 间接依赖 maven
Optional 间接依赖 pip
org.apache.kerby:kerb-common 1.0.1 间接依赖 maven
org.apache.kerby:kerb-identity 1.0.1 间接依赖 maven
check_quantile_error 间接依赖 pip
org.objenesis:objenesis 3.3 间接依赖 maven
org.apache.flink:flink-hadoop-fs 1.18.0 间接依赖 maven
com.fasterxml.woodstox:woodstox-core 5.4.0 间接依赖 maven
COMMON_STACK_PARAMS 间接依赖 pip
org.apache.commons:commons-lang3 3.14.0 直接依赖 maven
org.scala-lang.modules:scala-collection-compat_2.12 2.11.0 直接依赖 maven
org.eclipse.jetty:jetty-io 9.4.51.v20230217 间接依赖 maven
org.apache.hadoop.thirdparty:hadoop-shaded-guava 1.1.1 间接依赖 maven
org.apache.flink:flink-shaded-guava 31.1-jre-17.0 间接依赖 maven
org.scala-lang.modules:scala-xml_2.12 2.1.0 间接依赖 maven
commons-beanutils:commons-beanutils 1.9.4 间接依赖 maven
org.scala-lang:scala-library 2.12.18 直接依赖 maven
com.nimbusds:nimbus-jose-jwt 9.8.1 间接依赖 maven
RabitTracker 间接依赖 pip
log4j:log4j 1.2.17 间接依赖 maven
org.apache.flink:flink-queryable-state-client-java 1.18.0 间接依赖 maven
org.apache.zookeeper:zookeeper-jute 3.6.3 间接依赖 maven
org.apache.kerby:kerb-util 1.0.1 间接依赖 maven
org.eclipse.jetty:jetty-servlet 9.4.51.v20230217 间接依赖 maven
hypothesis 间接依赖 pip
ml.dmlc:xgboost4j_2.12 2.1.0-SNAPSHOT 直接依赖 maven
javax.ws.rs:jsr311-api 1.1.1 间接依赖 maven
Sequence 间接依赖 pip
com.esotericsoftware:kryo 5.5.0 直接依赖 maven
org.apache.kerby:kerb-client 1.0.1 间接依赖 maven
run_ranking_qid_df 间接依赖 pip
com.thoughtworks.paranamer:paranamer 2.3 间接依赖 maven
org.apache.kerby:kerby-config 1.0.1 间接依赖 maven
io.dropwizard.metrics:metrics-core 3.2.4 间接依赖 maven
assume 间接依赖 pip
Generator 间接依赖 pip
org.eclipse.jetty:jetty-server 9.4.51.v20230217 间接依赖 maven
org.apache.kerby:kerby-util 1.0.1 间接依赖 maven
dnsjava:dnsjava 2.1.7 间接依赖 maven
wait 间接依赖 pip
org.apache.yetus:audience-annotations 0.5.0 间接依赖 maven
com.sun.jersey:jersey-core 1.19.4 间接依赖 maven
org.apache.flink:flink-shaded-jackson 2.14.2-17.0 间接依赖 maven
List 间接依赖 pip
ml.dmlc:xgboost4j-gpu_2.12 2.1.0-SNAPSHOT 直接依赖 maven
org.apache.flink:flink-clients 1.18.0 直接依赖 maven
org.apache.commons:commons-lang3 3.12.0 间接依赖 maven
com.esotericsoftware:reflectasm 1.11.9 间接依赖 maven
org.lz4:lz4-java 1.8.0 间接依赖 maven
commons-net:commons-net 3.9.0 间接依赖 maven
com.github.pjfanning:jersey-json 1.20 间接依赖 maven
org.apache.kerby:kerb-crypto 1.0.1 间接依赖 maven
org.apache.kerby:kerby-xdr 1.0.1 间接依赖 maven
org.apache.kerby:kerb-core 1.0.1 间接依赖 maven
org.scala-lang:scala-reflect 2.12.18 间接依赖 maven
FLContextKey 间接依赖 pip
build_info 间接依赖 pip
org.apache.flink:flink-ml-servable-core 2.2.0 直接依赖 maven
org.apache.httpcomponents:httpcore 4.4.13 间接依赖 maven
org.apache.flink:flink-metrics-core 1.18.0 间接依赖 maven
commons-io:commons-io 2.8.0 间接依赖 maven
ParamGridBuilder 间接依赖 pip
org.xerial.snappy:snappy-java 1.1.8.2 间接依赖 maven
io.netty:netty-buffer 4.1.63.Final 间接依赖 maven
javax.servlet.jsp:jsp-api 2.1 间接依赖 maven
org.apache.httpcomponents:httpclient 4.5.13 间接依赖 maven
org.apache.kerby:kerby-pkix 1.0.1 间接依赖 maven
org.apache.curator:curator-recipes 5.2.0 间接依赖 maven
org.eclipse.jetty:jetty-http 9.4.51.v20230217 间接依赖 maven
org.codehaus.jackson:jackson-core-asl 1.9.13 间接依赖 maven
org.apache.flink:flink-runtime 1.18.0 间接依赖 maven
dev.ludovic.netlib:blas 2.2.1 间接依赖 maven
Any 间接依赖 pip
org.apache.avro:avro 1.7.7 间接依赖 maven
com.google.code.findbugs:jsr305 1.3.9 间接依赖 maven
org.apache.flink:flink-java 1.18.0 间接依赖 maven
org.apache.flink:flink-file-sink-common 1.18.0 间接依赖 maven
org.javassist:javassist 3.24.0-GA 间接依赖 maven
org.apache.hadoop.thirdparty:hadoop-shaded-protobuf_3_7 1.1.1 间接依赖 maven
check_precision_score 间接依赖 pip
org.apache.kerby:token-provider 1.0.1 间接依赖 maven
given 间接依赖 pip
org.codehaus.woodstox:stax2-api 4.2.1 间接依赖 maven
org.apache.curator:curator-client 5.2.0 间接依赖 maven
AMI_ID 间接依赖 pip
com.fasterxml.jackson.core:jackson-core 2.12.4 间接依赖 maven
org.apache.flink:flink-shaded-zookeeper-3 3.7.1-17.0 间接依赖 maven
org.eclipse.jetty:jetty-util-ajax 9.4.51.v20230217 间接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.12.4 间接依赖 maven
javax.servlet:javax.servlet-api 3.1.0 间接依赖 maven
org.checkerframework:checker-qual 2.5.2 间接依赖 maven
com.twitter:chill-java 0.7.6 间接依赖 maven
org.apache.flink:flink-core 1.18.0 间接依赖 maven
commons-codec:commons-codec 1.15 间接依赖 maven
CrossValidator 间接依赖 pip
note 间接依赖 pip
org.eclipse.jetty:jetty-util 9.4.51.v20230217 间接依赖 maven
org.codehaus.mojo:animal-sniffer-annotations 1.17 间接依赖 maven
SparkXGBRegressor 间接依赖 pip
io.netty:netty-codec 4.1.63.Final 间接依赖 maven
org.apache.flink:flink-streaming-java 1.18.0 间接依赖 maven
org.apache.flink:flink-annotations 1.18.0 间接依赖 maven
Pool 间接依赖 pip
io.netty:netty-handler 4.1.63.Final 间接依赖 maven
org.eclipse.jetty:jetty-webapp 9.4.51.v20230217 间接依赖 maven
org.apache.flink:flink-rpc-akka-loader 1.18.0 间接依赖 maven
org.eclipse.jetty:jetty-xml 9.4.51.v20230217 间接依赖 maven
org.slf4j:slf4j-log4j12 1.7.25 间接依赖 maven
strategies 间接依赖 pip
org.slf4j:slf4j-reload4j 1.7.36 间接依赖 maven
org.apache.flink:flink-optimizer 1.18.0 间接依赖 maven
org.codehaus.jettison:jettison 1.1 间接依赖 maven
sphinx_rtd_theme 1.0.0 间接依赖 pip
com.google.guava:guava 27.0-jre 间接依赖 maven
io.netty:netty-transport-native-epoll 4.1.63.Final 间接依赖 maven
org.codehaus.jackson:jackson-mapper-asl 1.9.13 间接依赖 maven
io.netty:netty-transport 4.1.63.Final 间接依赖 maven
commons-cli:commons-cli 1.5.0 间接依赖 maven
org.apache.hadoop:hadoop-annotations 3.3.6 间接依赖 maven
org.apache.flink:flink-shaded-netty 4.1.91.Final-17.0 间接依赖 maven
commons-collections:commons-collections 3.2.2 间接依赖 maven
SparkXGBClassifier 间接依赖 pip
replace_stack 间接依赖 pip
commons-logging:commons-logging 1.3.0 直接依赖 maven
org.apache.flink:flink-rpc-core 1.18.0 间接依赖 maven
org.scala-lang:scala-compiler 2.12.18 直接依赖 maven
com.esotericsoftware:minlog 1.3.1 间接依赖 maven
com.esotericsoftware.minlog:minlog 1.2 间接依赖 maven
cpu_count 间接依赖 pip
com.google.protobuf:protobuf-java 2.5.0 间接依赖 maven
com.sun.jersey:jersey-server 1.19.4 间接依赖 maven
run_ranking_categorical 间接依赖 pip
collective 间接依赖 pip
io.netty:netty-resolver 4.1.63.Final 间接依赖 maven
ml.dmlc:xgboost4j-flink_2.12 2.1.0-SNAPSHOT 直接依赖 maven
org.apache.commons:commons-math3 3.1.1 间接依赖 maven
org.apache.curator:curator-framework 5.2.0 间接依赖 maven
javax.activation:activation 1.1 间接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.12.6.1 间接依赖 maven
org.apache.commons:commons-configuration2 2.8.0 间接依赖 maven
ml.dmlc:xgboost4j-spark_2.12 2.1.0-SNAPSHOT 直接依赖 maven
org.apache.kerby:kerb-server 1.0.1 间接依赖 maven
org.apache.kerby:kerb-admin 1.0.1 间接依赖 maven
com.jcraft:jsch 0.1.55 间接依赖 maven
settings 间接依赖 pip
io.netty:netty-common 4.1.63.Final 间接依赖 maven
com.google.j2objc:j2objc-annotations 1.1 间接依赖 maven
org.apache.commons:commons-compress 1.21 间接依赖 maven
io.netty:netty-transport-native-unix-common 4.1.63.Final 间接依赖 maven
com.sun.jersey:jersey-servlet 1.19.4 间接依赖 maven
org.apache.flink:flink-shaded-asm-9 9.5-17.0 间接依赖 maven
org.apache.commons:commons-text 1.10.0 间接依赖 maven
com.github.stephenc.jcip:jcip-annotations 1.0-1 间接依赖 maven
org.apache.hadoop:hadoop-auth 3.3.6 间接依赖 maven
org.apache.kerby:kerby-asn1 1.0.1 间接依赖 maven
(0)
上一篇 2024年2月15日
下一篇 2024年2月15日

相关推荐

  • darkrenaissance/darkfi 软件分析报告

    基础信息 项目名称:darkrenaissance/darkfi 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1717047234700902400/1717047236168908800 此报告由Murphys…

    软件分析 2023年10月25日
    0
  • cwjfeifei/AndroidFileManage 软件分析报告

    基础信息 项目名称:cwjfeifei/AndroidFileManage 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721118527850614784/1722588986425450496 此报告由Mu…

    软件分析 2023年11月9日
    0
  • benoitc/tproxy 软件分析报告

    基础信息 项目名称:benoitc/tproxy 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1727524205439700992/1727524205666193408 此报告由Murphysec提供 漏洞列…

    软件分析 2023年11月23日
    0
  • yaphone/itchat4j 软件分析报告

    基础信息 项目名称:yaphone/itchat4j 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721646126426558464/1721646126468501504 此报告由Murphysec提供 漏…

    软件分析 2023年11月7日
    0
  • juoliii/mybatis-helper 软件分析报告

    基础信息 项目名称:juoliii/mybatis-helper 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1719325014758309888/1719325014930276352 此报告由Murphys…

    软件分析 2023年10月31日
    0