2018年Open Source弱點Top 10 （下）

在2017年起，WhiteSource開始統計每年Open Source十大弱點排名，並建立起這個傳統，讓您可以快速的了解Open Source中最令人不安和常見的弱點。從那時候開始，我們努力的發布排名前5的Open Source弱點。我們的研究團隊找出2018年WhiteSource資料庫中，新增加的Open Source弱點，而這些弱點來自多個地方，其中包括美國國家弱點資料庫 ( National Vulnerability Database；NVD），以及其他公開的資訊、同行評審的安全建議和問題追蹤網站等等。

您可能會注意到列表中，一些弱點的編號是WS開頭的，而不是熟悉的CVE編號。WS編號的弱點是還沒被新增到NVD中，但已經存在我們的資料庫。雖然 NVD是一個綜合的弱點資料庫，卻只有86%的Open Source弱點存在於CVE資料庫中，而其餘的弱點則在其他平台上發布。這就是為什麼WhiteSource的Open Source弱點資料庫的資訊超出NVD的弱點資料庫，並且不斷的收集來自其他Open Source的資料。

在2019年3月份的文章中，我們介紹了第一名到第五名的弱點排行，以下是我們將介紹第六名到第十名的弱點。

 6.     Apache Struts REST Plugin
CVE-2018-1327
弱點分數 : Medium — 5.0
影響的版本 : 2.1.1 - 2.5.14.1

2018年發現的另一個頭條新聞是四月份發布的Apache Struts弱點。在揭露Equifax所忽略很有名的Struts 2弱點的一年又一個月之後，在Apache Struts REST plug-in的XStream處理程序中發現了一個弱點。該弱點允許遠端攻擊者透過使用帶有Struts REST plug-in的XStream處理程序，發送特製的XML請求來建立拒絕服務(DoS)的條件，從而導致目標物件停止執行。

您可以在這裡找到有關弱點及其修復建議。

7.     Jenkins
CVE-2017-1000354 
弱點分數 : High — 8.8
CVE-2017-1000355
弱點分數 : Medium — 6.5
CVE-2017-1000356 
弱點分數 : High — 8.8
影響的版本 : 2.56 and earlier as well as 2.46.1 LTS and earlier

Jenkins在2月份的時候，遭受3次重傷。Jenkins是Java語言為基礎的Open Source CI Server，因此受到許多開發人員的青睞，並獲得大型社群的支持。很多的問題是允許跨站請求偽造（Cross-Site Request Forgery ; CSRF），這意味著駭客可以透過欺騙毫無戒心的受害者來打開網頁並執行各種管理操作。在CVE-2017-1000354編號中，獲得非常高的弱點分數 : 8.8 CVSS v3，登錄的command允許冒充Jenkins的使用者。CVE-2017-1000355編號，具有較低的6.5 CVSS v3分數，是由XStream弱點引起的，該弱點可能導致Java去透過DoS攻擊而崩潰。CVE-2017-1000356編號，是另一個具有8.8 CVSS v3分數的弱點，是Jenkins使用者身份驗證中的弱點，允許攻擊者在應用程式上新增帳號，從而允許未經授權的訊息洩露和未經授權的修改。

您可以閱讀有關Jenkin安全建議的弱點及其修復建議。

8.     AngularJS
WS-2018-0001
WS-2018-0002
弱點分數 : Medium — 5.5

AngularJS是另一個備受喜愛的Open Source框架，由Google建立和維護，去年1月份遭遇到雙重麻煩。在WS-2018-0001中，JSONP能允許不受信任的URL，這是一個非常危險的問題，因為它為駭客提供攻擊的媒介。第二個弱點，WS-2018-0002當在使用Angular套件所提供的伺服務器端的樣版引擎(templating engine)如ERB或Haml，會發生的弱點，該弱點允許跨站腳本攻擊（cross-site scripting ; XSS）。攻擊者可以利用此漏洞在客戶端腳本惡意注入公共網頁。 AngularJS依使用者輸入之字串，是否包含插入符號(預設符號為{{ and }}）來啟動這些漏洞。注意，這個弱點是被廣泛使用的Open Source專案，但本弱點還沒被添加到NVD中。幸運的是，WhiteSource已經為您提供保障。

您可以在此處了解有關WS-2018-0001和 WS-2018-0002的資訊。

9.     Moment.js
CVE-2017-18214
弱點分數 : High — 7.5
影響的版本 : before 2.19.3 for Node.js

此弱點在3月份的NVD中發佈，Whitesource早已將此弱點紀錄在自己的資料庫中，編號為WS-2017-0422，並且在去年12月的Open Source弱點更新。Moment.js是一個流行的JavaScript library，可以幫助開發人員完成編寫繁瑣的日期和時間物件。Moment.js被觸發的弱點是相當罕見的，但這個弱點卻是相當危險的。它可能會讓使用者開放ReDoS攻擊，這就是為什麼弱點等級高達7.5的原因。根據npm的通報，如果您的版本是有弱點的，應該將Moment.js更新到2.19.3版。

您可以在GitHub上閱讀有關Moment.js弱點及其修復的資訊。

10.     Lodash
WS-2018-0210
弱點分數 : Low — 3.5
影響的版本 : before version 4.17.11

此弱點是11月份發布的列表中，新問題之一。在Lodash node模組的某些功能中發現樣版含有弱點。容易受攻擊的函數是merg、mergeWith和defaultsDeep，這些函數會被繞過而添加或修改 Object樣版的屬性。開發人員喜歡使用Lodash的模組方法來重覆使用矩陣、物件和字串；建立合成函數並帶入控制值和測試值。Lodash文件指出，該元件透過簡化矩陣、數 字、物件和字串等工作，有助於使JavaScript更容易處理。Lodash目前在npm上的版本（v4.17.11）每週下載量將近1700萬，這告 訴我們使用者同意使用此套件但忽視此弱點。

您可以閱讀有關此弱點的更多訊息，以及它對GitHub的修復。

每個Open Source都可能有未通報的弱點
2016年至2017年間Open Source弱點的數量增加51％，而在2018年許多熱門且持續維護中的OpenSource，幾乎擁有一樣多的弱點。雖然常會在新聞事件中發現，公司 使用了已知有弱點的Open Source；而這類的訊息往往會令開發者感到沮喪，也常發現仍有許多公司因發現太慢而未進行修補與更新並付出慘痛的代價。Open Source社群繼續專注在發現和修復專案中的弱點，坦承發布的弱點數量不少太快降低。好消息是，所有已被通報的弱點中有97.4％在Open Source社群可以找到修復建議。同時這類的資料是公開的，駭客可利用既有漏洞的Open Source進行攻擊，企業必需確保所使用的套件，都是沒有弱點的版本，並使用正確的方法和工具來管理其Open Source 的安全性。

想要回顧2018年早期的Open Source弱點嗎？歡迎查詢更多的Top Open Source弱點。