界: Environment
本節包括原始程式碼之外的所有內容,但對於建立中產品的安全性仍至關重要。由於此領域所涵蓋的問題與原始程式碼沒有直接關係,因此我們將其與其他領域分開。
Build Misconfiguration: Dynamic Dependency Version Usage
Abstract
使用動態版本擷取建置的 dependency,會使 build system 易受惡意二進位程式的侵害或造成系統產生意外的運作方式。
Explanation
利用 Apache Ivy 自動化 dependency 管理系統,使用者可為 dependency 指定版本狀態 (也稱為動態版本),而非列出特定版本。如果攻擊者能夠危害 dependency 儲存庫,或欺騙 build system 從攻擊者控制的儲存庫下載 dependency,那麼 build system 只需下載動態修正說明符號,而該說明符號可能執行受危害的 dependency。除了安全性風險之外,動態修正還會為 Code Quality 帶來下列風險:動態修正使軟體的安全性和穩定性受控於第三方,即開發和發行軟體所使用的 dependency 的第三方。
在建置過程中,Ivy 會連接到儲存庫並企圖擷取與所列出狀態相符的 dependency。
Ivy 接受以下的動態修正說明符號:
-
-
- 任何結尾為
- 版本範圍:表示範圍的數學符號 (例如 ) 可用來對應版本的範圍。
範例 1:以下的組態項目會指示 Ivy 擷取 clover 元件的最新發行版本:
如果儲存庫受到危害,攻擊者可很容易便上傳符合動態標準的版本,使 Ivy 下載 dependency 的惡意版本。
在建置過程中,Ivy 會連接到儲存庫並企圖擷取與所列出狀態相符的 dependency。
Ivy 接受以下的動態修正說明符號:
-
latest.integration:選擇 dependency 模組的最新修正。-
latest.[any status]:選擇至少處於指定狀態的 dependency 模組的最新修正。例如,latest.milestone 會選擇重要的修正版本,或是發行版本,而 latest.release 僅會選擇最新發行版本。- 任何結尾為
+ 的修正:選擇 dependency 模組的最新子修正。例如,如果 dependency 存在於 1.0.3、1.0.7 及 1.1.2 修正版本中,則指定為 1.0.+ 的修正版本會選擇 1.0.7 修正版本。- 版本範圍:表示範圍的數學符號 (例如 ) 可用來對應版本的範圍。
範例 1:以下的組態項目會指示 Ivy 擷取 clover 元件的最新發行版本:
<dependencies>
<dependency org="clover" name="clover"
rev="latest.release" conf="build->*"/>
...
如果儲存庫受到危害,攻擊者可很容易便上傳符合動態標準的版本,使 Ivy 下載 dependency 的惡意版本。
References
[1] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001167, CCI-001499, CCI-001749, CCI-001812
[2] Standards Mapping - NIST Special Publication 800-53 Revision 4 CM-5 Access Restrictions for Change (P1), CM-11 User-Installed Software (P1), SC-18 Mobile Code (P2)
[3] Standards Mapping - NIST Special Publication 800-53 Revision 5 CM-5 Access Restrictions for Change, CM-11 User-Installed Software, CM-14 Signed Components, SC-18 Mobile Code
[4] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[5] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection
[6] Standards Mapping - OWASP Mobile 2024 M8 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[9] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 2.2.6
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 2.2.6
[12] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[13] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[14] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[15] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[16] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[17] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[18] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[19] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[20] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[21] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[22] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[23] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[24] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[25] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
[26] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-001390 CAT II, APSC-DV-001430 CAT II, APSC-DV-001440 CAT II, APSC-DV-003300 CAT II
desc.config.java.build_misconfiguration_dynamic_dependency_version