网络安全 当前位置:首页>>网络安全>>正文

国家安全部披露多起境外APT窃密案例

作者: 来源: 发表于:2023年05月30日 文章点击数:407 【打印】

>

关于SonarQube系统存在未授权访问漏洞的安全公告

来源:CNVD漏洞平台

 

安全公告编号:CNTA-2021-0031
2021
115日,国家信息安全漏洞共享平台(CNVD)收录了SonarQube系统未授权访问漏洞(CNVD-2021-84502)。攻击者利用该漏洞,可在未授权的情况下获取敏感代码数据。目前,漏洞利用细节已公开,SonarQube公司已发布补丁修复该漏洞。CNVD建议受影响用户尽快更新至最新版本避免漏洞攻击威胁。

一、漏洞情况分析

SonarQube是一个开源代码质量管理和分析审计平台,支持包括JavaC#C/C++PL/SQLCobolJavaScriptGroovy等二十余种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过SonarQube Web界面进行呈现。近日,境外媒体相继爆料多起源代码泄露事件,涉及我国多个机构和企业的SonarQube代码审计平台。SonarQube系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权控制,攻击者利用该漏洞,可在未授权的情况下通过访问上述API接口,获取SonarQube平台上的程序源代码,构成项目源代码数据泄露风险。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:SonarQube < 8.6

三、漏洞处置建议

目前,SonarQube公司已发布新版本修复该漏洞,CNVD建议用户尽快进行自查,并及时升级至最新版本,同时可根据业务情况,加设或调整部署于公网的系统访问策略。

 

附参考链接:

https://docs.sonarqube.org/latest/setup/get-started-2-minutes/

https://blog.sonarsource.com/public-response-code-leaks

版权所有:Copyright @ 2023 达州中医药职业学院版权所有 All Right Reserved.
办公电话:0818-2632255 地址:四川省达州市通川区职教园区
备案号:蜀ICP备19026575号-1