| 漏洞类型 | 输入验证不恰当 | 发现时间 | 2023-08-21 | 漏洞等级 | 中危 |
| MPS编号 | MPS-2022-67125 | CVE编号 | CVE-2022-46751 | 漏洞影响广度 | 极小 |
漏洞危害
| OSCS 描述 |
|
Apache Ivy 是一个管理基于 ANT 项目依赖关系的开源工具,文档类型定义(DTD)是一种文档类型定义语言,它用于定义XML文档中所包含的元素以及元素之间的关系。 Apache Ivy 2.5.2之前版本中,当解析自身配置、Ivy 文件或 Apache Maven 的 POM 文件时允许下载外部DTD并加载其中包含的任何实体引用,当 Apache Ivy 解析的XML文件由攻击者可控时,攻击者可利用 XXE 获取目标主机上 Apache Ivy 有权访问的任意文件。 |
| APACHE Pony Mail 描述 |
|
XML 外部实体引用限制不当,Apache 软件基金会 Apache Ivy 中的 XML 注入(又名盲 XPath 注入)漏洞。此问题会影响 2.5.2 之前的任何 Apache Ivy 版本。 当 2.5.2 之前的 Apache Ivy 解析 XML 文件(它自己的配置、Ivy 文件或 Apache Maven POM )时,它将允许下载外部文档类型定义,并在使用时扩展其中包含的任何实体引用。 这可用于泄露数据,访问只有运行 Ivy 的机器才能访问的资源,或者以不同的方式干扰 Ivy 的执行。 从 Ivy 2.5.2 开始,默认情况下禁用 DTD 处理,除非在解析 Maven POM 时,其中默认设置是允许 DTD 处理,但仅包含随 Ivy 一起提供的 DTD 代码段,这是处理现有 Maven POM 所必需的,这些 Maven POM 不是有效的 XML 文件,但仍被 Maven 接受。如果需要,可以通过新引入的系统属性使访问更加宽松。 2.5.2 版之前的 Ivy 用户可以使用 Java 系统属性来限制外部 DTD 的处理,请参阅 Oracle 的“Java API for XML Processing (JAXP) 安全指南”中有关“外部访问限制的 JAXP 属性”部分。 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| org.apache.ivy:ivy [2.0.0-beta1, 2.5.2) | 更新 | 升级org.apache.ivy:ivy到 2.5.2 或更高版本 |
| 缓解措施 | 将 javax.xml.accessExternalDTD 设置成空字符串禁止外部实体引用的访问,具体请参考:https://docs.oracle.com/en/java/javase/13/docs/api/java.xml/javax/xml/XMLConstants.html#ACCESS_EXTERNAL_DTD | |
| 补丁 | 官方已发布补丁:https://github.com/apache/ant-ivy/commit/2be17bc18b0e1d4123007d579e43ba1a4b6fab3d | |
| 参考链接:https://www.oscs1024.com/hd/MPS-2022-67125 | ||
APACHE Pony Mail 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| Apache Ivy 1.0.0 through 2.5.1 | 更新 | 升级 Apache Ivy 到2.5.2 |
| 缓解措施 | 2.5.2 版之前的 Ivy 用户可以使用 Java 系统属性来限制外部 DTD 的处理,请参阅 Oracle 的“Java API for XML Processing (JAXP) 安全指南”中有关“外部访问限制的 JAXP 属性”部分。 | |
| 参考链接:https://lists.apache.org/thread/1dj60hg5nr36kjr4p1100dwjrqookps8,https://lists.apache.org/thread/9gcz4xrsn8c7o9gb377xfzvkb8jltffr | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-2022-67125
https://nvd.nist.gov/vuln/detail/CVE-2022-46751
https://lists.apache.org/thread/9gcz4xrsn8c7o9gb377xfzvkb8jltffr
https://github.com/apache/ant-ivy/commit/2be17bc18b0e1d4123007d579e43ba1a4b6fab3d
https://lists.apache.org/thread/1dj60hg5nr36kjr4p1100dwjrqookps8