跳到元数据的末尾
转到元数据开始

cf影响Artifactory

以下是被发现影响Artifactory的cve的列表固定

CVE 严重程度
Artifactory修正版本
修复描述
cve - 2021 - 42340 6.23.37

升级Apache Tomcat 8.5.60版本至8.5.72。

cve - 2021 - 33037

媒介 6.23.31 升级到Apache Tomcat 8.5.68版本

cve - 2021 - 33037

媒介 6.23.31 升级到Apache Tomcat 8.5.68版本
6.23.15 升级到Xstream1.4.16版本。
6.23.15 升级到org.freemarker2.3.31版本。
6.23.15 升级到Spring安全网络5.4.5版本。
6.23.15

升级到Apache Tomcat 8.5.63版本。

6.23.1 升级artifactory.warcryptacular-1.1.1.jar1.1.4版本。
cve - 2017 - 18640 6.23.0 升级snakeyaml-1.23.jar从1.26版本到1.27版本。
cve - 2020 - 7692 至关重要的 6.23.0 升级google-oauth-client库从1.27版本扩展到1.31版本。

cve - 2019 - 12402

媒介 6.23.0 升级Commons-compressLib已升级到版本1.20。
cve - 2020 - 15586去的问题golang.org/issue/34902 6.23.0 升级到Go 1.14.9的最新版本。
cve - 2019 - 20104 6.23.0 升级到Crowd lib升级到3.7.2版本。
cve - 2020 - 5398 媒介 6.20.0 升级的年代按到5.1.13版本
cve - 2019 - 17563 媒介 6.20.0 升级Apache Tomcat到8.5.50版本。
cve - 2018 - 1000206 6.1 的实际值现在将进行验证X-Request-With头,而不是检查它的存在
cve - 2017 - 7525 至关重要的 6.1 FasterXML jackson-databind已升级到2.93和2.8.10版本,并包含了防止未经身份验证的远程代码执行的修复。
cve - 2016 - 8745 5.2.0 Apache Tomcat升级到8.0.41版本,包括修复NIO HTTP连接器漏洞
cve - 2016 - 8735 至关重要的 5.0.0 Apache Tomcat已升级到8.0.39版本
cve - 2016 - 3092 5.0.0 Apache Tomcat已升级到8.0.39版本
cve - 2016 - 6501 至关重要的 4.11.0 在Artifactory LDAP设置中增加了“安全LDAP搜索”功能,通过过滤暴露在漏洞中的用户来防止LDAP中毒
cve - 2014 - 3623 4.10.0 升级了wss4j库扩展到1.6.17版本和Apache CXF2.7.13版
cve - 2015 - 0227 媒介 4.10.0 升级wss4j图书馆版本1.6.17和Apache CXF2.7.13版
cve - 2014 - 0114 4.10.0

升级commons-beanutils到1.9.2版本

cve - 2015 - 7940 媒介 4.8.1

升级了相关库,其中包括Bouncy Castle Java库作为依赖项

cve - 2013 - 4517 媒介 4.8.0 升级了相关库,其中包括Java的Apache XML安全库作为依赖项
cve - 2015 - 4852 4.5.2 升级了commons-collection库扩展到3.2.2版本
cve - 2015 - 3253 至关重要的 4.2.1 升级了Groovy-all库升级到2.4.4版本
cve - 2014 - 0107 4.2.1 升级了Xalan库升级到2.7.2版本
cve - 2014 - 3577 媒介 3.3.1 升级了HttpClient库升级到4.3.5版本
页面内容


没有CVE影响Artifactory的漏洞

以下是一个没有影响Artifactory的CVE且已修复的漏洞列表。

描述 严重程度 Artifactory修正版本
在某些情况下,经过身份验证的用户能够:
  • 从Artifactory检索通常需要管理权限的环境信息。
  • 在没有足够权限执行这些操作的情况下,从不同的上游向Artifactory部署二进制文件。
至关重要的

6.13.3, 6.14.4, 6.15.2, 6.16.2, 6.17.1, 6.18.1

在某些情况下,用户可以访问本应只向管理员公开的应用程序数据。 至关重要的 6.9.3 6.8.14, 6.10.4
在某些情况下,未经授权的用户可能会向Artifactory发送格式不正确的REST API调用,这些调用以另一个用户的身份执行。 至关重要的
  • 5.6.8, 5.7.3, 5.8.12, 5.9.8, 5.10.5, 5.11.5

  • 6.0.4, 6.1.4, 6.2.1, 6.3.4, 6.4.2, 6.5.9

一个与SAML相关的身份验证漏洞可能使Artifactory暴露于XSW攻击,这种攻击可能嗅探和操纵SAML通信,导致SAML登录响应的验证不正确。这可能允许攻击者访问Artifactory中的任何用户。 6.5.13



CVEs不影响Artifactory

以下是cve的列表影响Artifactory。

CVE 严重程度 原因
cve - 2019 - 0232 enableCmdLineArguments参数在与Artifactory绑定的Apache Tomcat中没有启用。
cve - 2018 - 8014 JFrog Apache Tomcat版本为8.5.32,不属于漏洞版本。
cve - 2018 - 1275 JFrog Spring Framework版本为4.1.8,不支持该版本,容易受到CVE的攻击。但是,因为JFrog没有实现STOMP代理,所以我们不会暴露在这个漏洞中

cve - 2018 - 8589

媒介 JFrog不对Windows操作系统中的漏洞负责。任何使用本地环境的人都应该保持Windows操作系统的最新状态。
cve - 2018 - 11776 不会影响Artifactory,因为JFrog不使用Apache Struts。
cve - 2018 - 5925 不影响Artifactory,因为该问题涉及某些HP喷墨打印机,而与JFrog无关。
cve - 2018 - 5924 不影响Artifactory,因为该问题涉及某些HP喷墨打印机,而与JFrog无关。
cve - 2018 - 1260 不会影响Artifactory,因为JFrog不使用Spring Security Oauth。
cve - 2018 - 1259 不会影响Artifactory,因为JFrog不使用Spring Data Commons。
cve - 2017 - 5664
不会影响Artifactory,因为只读的DefaultServlet中的属性是“真正的“(readOnly = true)在我们的环境中。正如在CVE,你只是脆弱:“……如果DefaultServlet被配置为允许写…"
cve - 2017 - 5648 至关重要的
不影响Artifactory,既然tomcat webapps /文件夹只包含打包的Tomcat发行版使用的Artifactory WAR和Access WAR文件。
cve - 2017 - 5647 不影响Artifactory,因为该问题只涉及Artifactory不使用的“发送文件”服务。
cve - 2017 - 5638 至关重要的 Artifactory是受Apache Struts 2漏洞影响。
CVE-2014-0097年 对于LDAP身份验证,Artifactory严格使用使用ArtifactoryLdapAuthenticationProvider类,该类使用ArtifactoryLdapAuthenticator,包装ArtifactoryBindAuthenticator。后一个类是用来执行实际身份验证的类并检查为空密码。

Artifactory在LDAP中不使用任何其他提供程序,例如ActiveDirectoryLdapAuthenticationProvider。这JIRA问题指的是一个较老的类名,ActiveDirectoryLdapAuthenticator,它不是Spring Security和Artifactory的一部分。
cve - 2008 - 4108 不影响Artifactory,因为ArtifactoryJfrog不需要安装Python;CVE与Jfrog无关。
cve - 2005 - 2541 不影响Artifactory,因为Artifactory使用Tar 1.30.1。
  • 没有标签