-
09/04/2020
-
85
-
553 bài viết
Đã có bản vá cho lỗ hổng CVE-2022-46751 trong Apache Ivy
Một lỗ hổng từ năm 2022 tồn tại trong Apache Ivy - công cụ quản lý phụ thuộc (dependency management) phổ biến có thể cho phép kẻ tấn công chèn mã độc vào quá trình xử lý tệp XML của Ivy.
Lỗ hổng có mã định danh CVE-2022-46751, chưa có điểm CVSS. Nguyên nhân gây ra lỗ hổng do Ivy cho phép xử lý định nghĩa loại tài liệu bên ngoài (DTD) khi phân tích các tệp XML.
DTD (document type definitions) là một thành phần tạo nên văn bản XML, có vai trò định nghĩa cấu trúc các phần tử và thuộc tính xuất hiện trong XML. Khai thác thành công lỗ hổng, kẻ tấn công có thể:
Để giải quyết lỗ hổng từ năm 2022 này, các nhà chuyên gia Apache Ivy đã phát hành phiên bản 2.5.2. Đáng chú ý là tính năng xử lý DTD sẽ bị vô hiệu hóa theo mặc định.
Người dùng vẫn sử dụng phiên bản Ivy cũ hơn 2.5.2 có thể tận dụng các thuộc tính hệ thống Java để hạn chế việc xử lý những DTD bên ngoài, nhưng vẫn nên cập nhật ngay bản vá để giảm thiểu các rủi ro sau này.
Lỗ hổng có mã định danh CVE-2022-46751, chưa có điểm CVSS. Nguyên nhân gây ra lỗ hổng do Ivy cho phép xử lý định nghĩa loại tài liệu bên ngoài (DTD) khi phân tích các tệp XML.
DTD (document type definitions) là một thành phần tạo nên văn bản XML, có vai trò định nghĩa cấu trúc các phần tử và thuộc tính xuất hiện trong XML. Khai thác thành công lỗ hổng, kẻ tấn công có thể:
- Đánh cắp dữ liệu nhạy cảm
- Truy cập các tài nguyên độc quyền của máy chủ Ivy
- Ngắt kết nối hoặc làm gián đoạn hoạt động tiêu chuẩn của Ivy
Để giải quyết lỗ hổng từ năm 2022 này, các nhà chuyên gia Apache Ivy đã phát hành phiên bản 2.5.2. Đáng chú ý là tính năng xử lý DTD sẽ bị vô hiệu hóa theo mặc định.
Người dùng vẫn sử dụng phiên bản Ivy cũ hơn 2.5.2 có thể tận dụng các thuộc tính hệ thống Java để hạn chế việc xử lý những DTD bên ngoài, nhưng vẫn nên cập nhật ngay bản vá để giảm thiểu các rủi ro sau này.
Theo Security Online
Chỉnh sửa lần cuối: