如何修复
云环境
受影响的云环境已经使用固定版本进行了加固。对于云实例不需要任何操作。
自我托管环境
要解决这个问题,需要采取一些行动.将您的Artifactory版本升级到下面列出的其中一个版本:
产品 |
版本 |
链接 |
|---|---|---|
Artifactory (7. x) |
最新的 |
|
Artifactory (7. x) |
7.17.16 |
|
Artifactory (7. x) |
7.18.12 |
|
Artifactory (7. x) |
7.19.13 |
|
Artifactory (7. x) |
7.21.25 |
|
Artifactory (7. x) |
7.25.9 |
|
Artifactory (7. x) |
7.27.15 |
|
Artifactory (7. x) |
7.29.10 |
|
Artifactory (7. x) |
7.31.16 |
|
Artifactory (7. x) |
7.33.12 |
|
| Artifactory (7. x) | 7.34.3 | https://releases.jfrog.io |
| Artifactory (7. x) | 7.35.1 | https://releases.jfrog.io |
| Artifactory (7. x) | 7.36.1 | https://releases.jfrog.io |
Artifactory (6. x) |
最新的6.23。x版本 |
变通方法和缓解措施
您可以通过遵循最佳实践并禁用对JFrog平台的匿名访问来减轻此问题的影响。请查看以下方面的最佳实践禁用匿名访问在JFrog知识库中。
默认情况下,从6.12.0和7.0.0版本开始的新Artifactory和Edge安装禁用匿名访问。
缺陷类型
cwe - 502:不可信数据的反序列化
致谢
这个问题是由苹果信息安全公司的Matthias Kaiser和Jonni Passki发现并报告的。
我们随时恭候您的提问(JFrog支持团队)
如果您对此建议有任何疑问或疑虑,请在JFrog支持门户.
