固定的安全漏洞

cf影响Artifactory

以下是被发现影响Artifactory的cve的列表固定．

CVE	严重程度	Artifactory修正版本	修复描述
cve - 2021 - 42340	高	6.23.37	升级Apache Tomcat 8.5.60版本至8.5.72。
cve - 2021 - 33037	媒介	6.23.31	升级到Apache Tomcat 8.5.68版本
cve - 2021 - 33037	媒介	6.23.31	升级到Apache Tomcat 8.5.68版本
cve - 2021 - 21341	高	6.23.15	升级到`Xstream`1.4.16版本。
freemarker - 124	高	6.23.15	升级到`org.freemarker`2.3.31版本。
cve - 2021 - 22112	高	6.23.15	升级到`Spring安全网络`5.4.5版本。
cve - 2021 - 25122	高	6.23.15	升级到Apache Tomcat 8.5.63版本。
cve - 2020 - 7226	高	6.23.1	升级`artifactory.war`在`cryptacular-1.1.1.jar`1.1.4版本。
cve - 2017 - 18640	高	6.23.0	升级`snakeyaml-1.23.jar`从1.26版本到1.27版本。
cve - 2020 - 7692	至关重要的	6.23.0	升级`google-oauth-client`库从1.27版本扩展到1.31版本。
cve - 2019 - 12402	媒介	6.23.0	升级`Commons-compress`Lib已升级到版本1.20。
cve - 2020 - 15586去的问题golang.org/issue/34902	高	6.23.0	升级到Go 1.14.9的最新版本。
cve - 2019 - 20104	高	6.23.0	升级到Crowd lib升级到3.7.2版本。
cve - 2020 - 5398	媒介	6.20.0	升级的年代按到5.1.13版本
cve - 2019 - 17563	媒介	6.20.0	升级Apache Tomcat到8.5.50版本。
cve - 2018 - 1000206	高	6.1	的实际值现在将进行验证`X-Request-With`头，而不是检查它的存在
cve - 2017 - 7525	至关重要的	6.1	FasterXML jackson-databind已升级到2.93和2.8.10版本，并包含了防止未经身份验证的远程代码执行的修复。
cve - 2016 - 8745	高	5.2.0	`Apache Tomcat`升级到8.0.41版本，包括修复NIO HTTP连接器漏洞
cve - 2016 - 8735	至关重要的	5.0.0	`Apache Tomcat`已升级到8.0.39版本
cve - 2016 - 3092	高	5.0.0	`Apache Tomcat`已升级到8.0.39版本
cve - 2016 - 6501	至关重要的	4.11.0	在Artifactory LDAP设置中增加了“安全LDAP搜索”功能，通过过滤暴露在漏洞中的用户来防止LDAP中毒
cve - 2014 - 3623	高	4.10.0	升级了`wss4j`库扩展到1.6.17版本和`Apache CXF`2.7.13版
cve - 2015 - 0227	媒介	4.10.0	升级的`wss4j`图书馆版本1.6.17和`Apache CXF`2.7.13版
cve - 2014 - 0114	高	4.10.0	升级`commons-beanutils`到1.9.2版本
cve - 2015 - 7940	媒介	4.8.1	升级了相关库，其中包括`Bouncy Castle Java`库作为依赖项
cve - 2013 - 4517	媒介	4.8.0	升级了相关库，其中包括`Java的Apache XML安全`库作为依赖项
cve - 2015 - 4852	高	4.5.2	升级了`commons-collection`库扩展到3.2.2版本
cve - 2015 - 3253	至关重要的	4.2.1	升级了`Groovy-all`库升级到2.4.4版本
cve - 2014 - 0107	高	4.2.1	升级了`Xalan`库升级到2.7.2版本
cve - 2014 - 3577	媒介	3.3.1	升级了`HttpClient`库升级到4.3.5版本

页面内容

没有CVE影响Artifactory的漏洞

以下是一个没有影响Artifactory的CVE且已修复的漏洞列表。

描述	严重程度	Artifactory修正版本
在某些情况下，经过身份验证的用户能够: 从Artifactory检索通常需要管理权限的环境信息。在没有足够权限执行这些操作的情况下，从不同的上游向Artifactory部署二进制文件。	至关重要的	6.13.3, 6.14.4, 6.15.2, 6.16.2, 6.17.1, 6.18.1
在某些情况下，用户可以访问本应只向管理员公开的应用程序数据。	至关重要的	6.9.3 6.8.14, 6.10.4
在某些情况下，未经授权的用户可能会向Artifactory发送格式不正确的REST API调用，这些调用以另一个用户的身份执行。	至关重要的	5.6.8, 5.7.3, 5.8.12, 5.9.8, 5.10.5, 5.11.5 6.0.4, 6.1.4, 6.2.1, 6.3.4, 6.4.2, 6.5.9
一个与SAML相关的身份验证漏洞可能使Artifactory暴露于XSW攻击，这种攻击可能嗅探和操纵SAML通信，导致SAML登录响应的验证不正确。这可能允许攻击者访问Artifactory中的任何用户。	高	6.5.13

CVEs不影响Artifactory

以下是cve的列表不影响Artifactory。

CVE	严重程度	原因
cve - 2019 - 0232	高	的enableCmdLineArguments参数在与Artifactory绑定的Apache Tomcat中没有启用。
cve - 2018 - 8014	高	JFrog Apache Tomcat版本为8.5.32，不属于漏洞版本。
cve - 2018 - 1275	高	JFrog Spring Framework版本为4.1.8，不支持该版本，容易受到CVE的攻击。但是，因为JFrog没有实现STOMP代理，所以我们不会暴露在这个漏洞中
cve - 2018 - 8589	媒介	JFrog不对Windows操作系统中的漏洞负责。任何使用本地环境的人都应该保持Windows操作系统的最新状态。
cve - 2018 - 11776	高	不会影响Artifactory，因为JFrog不使用Apache Struts。
cve - 2018 - 5925	高	不影响Artifactory，因为该问题涉及某些HP喷墨打印机，而与JFrog无关。
cve - 2018 - 5924	高	不影响Artifactory，因为该问题涉及某些HP喷墨打印机，而与JFrog无关。
cve - 2018 - 1260	高	不会影响Artifactory，因为JFrog不使用Spring Security Oauth。
cve - 2018 - 1259	高	不会影响Artifactory，因为JFrog不使用Spring Data Commons。
cve - 2017 - 5664	高	不会影响Artifactory，因为`只读的`DefaultServlet中的属性是“`真正的“(readOnly = true)`在我们的环境中。正如在CVE，你只是脆弱:“……如果DefaultServlet被配置为允许写…"
cve - 2017 - 5648	至关重要的	不影响Artifactory，既然`tomcat webapps /`文件夹只包含打包的Tomcat发行版使用的Artifactory WAR和Access WAR文件。
cve - 2017 - 5647	高	不影响Artifactory，因为该问题只涉及Artifactory不使用的“发送文件”服务。
cve - 2017 - 5638	至关重要的	Artifactory是不受Apache Struts 2漏洞影响。
CVE-2014-0097年	高	对于LDAP身份验证，Artifactory严格使用使用ArtifactoryLdapAuthenticationProvider类，该类使用ArtifactoryLdapAuthenticator，包装ArtifactoryBindAuthenticator。后一个类是用来执行实际身份验证的类并检查为空密码。 Artifactory在LDAP中不使用任何其他提供程序，例如ActiveDirectoryLdapAuthenticationProvider。这JIRA问题指的是一个较老的类名，ActiveDirectoryLdapAuthenticator，它不是Spring Security和Artifactory的一部分。
cve - 2008 - 4108	高	不影响Artifactory，因为ArtifactoryJfrog不需要安装Python;CVE与Jfrog无关。
cve - 2005 - 2541	高	不影响Artifactory，因为Artifactory使用Tar 1.30.1。