Apache Ant 安全報告
報告 Apache Ant 的新安全問題
Apache 軟體基金會採取非常積極的立場,以消除其產品的安全問題和阻斷服務攻擊。
我們強烈建議大家先向我們的私人安全郵件清單報告此類問題,再於公開論壇中公開。
請注意,安全郵件清單應僅用於報告未公開的安全漏洞,以及管理修復此類漏洞的流程。我們無法在此地址接受一般錯誤報告或其他查詢。所有寄送至這個地址,與我們的原始碼中未公開的安全問題無關的郵件,都將被忽略。
如果您需要報告一個不是未公開安全漏洞的錯誤,請使用 錯誤報告頁面。
關於以下問題:
- 漏洞是否適用於您的特定應用程式
- 取得已發布漏洞的進一步資訊
- 修補程式和/或新版本的可用性
應提交至使用者郵件清單。有關如何訂閱的詳細資訊,請參閱 郵件清單頁面。
私人安全郵件地址為:security@apache.org
Apache Ant 安全漏洞
此頁面列出已在 Apache Ant 發行版本中修復的所有安全性漏洞。每個漏洞都由開發團隊給予安全性影響評分 - 請注意這個評分可能因平台而異。我們也列出已知受漏洞影響的 Ant 版本,而未驗證的漏洞則會在版本中標示問號。
請注意,從不提供二進位元修補程式。如果您需要套用原始碼修補程式,請使用您正在使用的 Ant 版本的建置說明。
如果您需要建置 Ant 的協助,或其他有關遵循說明來減輕此處列出的已知漏洞的協助,請將您的問題寄送至公開的 Ant 使用者寄件清單。
如果您遇到未列出的安全性漏洞或其他具有安全性影響的意外行為,或此處的說明不完整,請私下向 Apache 安全團隊報告。謝謝您。
已在 Apache Ant 1.9.16 / Ant 1.10.11 中修復
低:拒絕服務 CVE-2021-36373 和 CVE-2021-36374。
當讀取特別製作的封存檔時,Apache Ant 建置可能會被配置為配置大量記憶體,最後導致記憶體不足錯誤,即使對於小型輸入也是如此。這可以用於中斷使用 Apache Ant 的建置。
它會影響 tar 封存檔的讀取(或更新),以及使用 zip 格式或衍生自其格式的封存檔。ZIP 封存檔中常用的衍生格式例如 JAR 檔案和許多辦公室檔案。
這已在修訂版 6594a2d 中修復。
這些問題類似於 Apache Commons Compress 中存在的 CVE-2021-35517 和 CVE-2021-36090,這些問題已由 OSS Fuzz 偵測到。
影響:最高至 1.9.15 / 1.10.10。1.4 之前的版本不受影響,1.9.0 之前的版本在讀取 tar 封存檔時不受影響。
已在 Apache Ant 1.10.9 中修復
中:不安全的暫時檔案漏洞 CVE-2020-11979
作為 CVE-2020-1945 的緩解措施,Apache Ant 1.10.8 已變更其建立的暫時檔案的權限,以便只有目前的使用者可以存取。很不幸地,fixcrlf 任務已刪除暫時檔案並建立一個新的檔案而沒有該保護措施,實際上抵銷了這項努力。
這仍允許攻擊者將修改過的原始碼檔案注入建置程序。
緩解措施:針對 CVE-2020-11979 和 CVE-2020-1945 最好的緩解措施仍然是讓 Ant 使用一個目錄,該目錄僅允許目前的使用者讀取和寫入。
1.10.8 和 1.9.15 版本的使用者可以使用 Ant 屬性 ant.tmpdir 指向此類目錄,1.1 至 1.9.14 和 1.10.0 至 1.10.7 版本的使用者應設定 java.io.tmpdir 系統屬性。
如果上述兩個屬性都沒有設定,Ant 1.10.9 也會嘗試建立一個只有目前使用者可以存取的暫時目錄,但如果底層檔案系統不允許,就可能無法建立。
明確設定要使用的目錄並設定相對應的屬性,是唯一可以在所有平台上運作的緩解措施。
此問題已在版本 f7159e8a084a3fcb76b933d393df1fc855d74d78 和 87ac51d3c22bcf7cfd0dc07cb0bd04a496e0d428 中修正。
此問題於 2020 年 6 月 1 日首次回報給安全團隊,並於 2020 年 9 月 30 日公開。
影響版本:1.10.8 之前
已在 Apache Ant 1.10.8 中修正
中度:不安全的暫時檔案漏洞 CVE-2020-1945
Apache Ant 使用 Java 系統屬性 java.io.tmpdir 識別的預設暫時目錄來執行多項工作,因此可能會洩漏敏感資訊。fixcrlf 和 replaceregexp 工作也會將檔案從暫時目錄複製回建置樹,讓攻擊者可以將修改過的原始檔注入到建置流程中。
緩解措施:Ant 1.1 到 1.9.14 和 1.10.0 到 1.10.7 版本的使用者應在執行 Ant 之前將 java.io.tmpdir 系統屬性設定為指向只有目前使用者可以讀寫的目錄。
1.9.15 和 1.10.8 版本的使用者可以改用 Ant 屬性 ant.tmpfile。Ant 1.10.8 的使用者可以依賴 Ant 保護暫時檔案(如果底層檔案系統允許),但我們仍然建議改用私人的暫時目錄。
此問題已在版本 9c1f4d905da59bf446570ac28df5b68a37281f35、041b058c7bf10a94d56db3ca9dba38cf90ab9943 和 a8645a151bc706259fb1789ef587d05482d98612 中修正。
此問題於 2020 年 1 月 29 日首次回報給安全團隊,並於 2020 年 5 月 13 日公開。
影響版本:1.10.7 之前
已在 Apache Ant 1.9.10 / Ant 1.10.2 中修正
低度:拒絕服務 CVE-2017-5645
使用 Apache Ant 的 Log4jListener 時,1.x 版本的底層 Apache Log4j 函式庫可能會出現安全問題。
請注意,Log4j 1.x 已屆使用年限,不再維護。有關從 Log4j 1.x 遷移的詳細資訊,請諮詢 Apache Log4j 團隊。
已在版本 2b53103932031a1d2321f5dc890ede55a9833f95 和 146df361556b499f2fa7d34f58a86508b9492652 中修復。
已於 2018 年 1 月 8 日首次向安全團隊報告,並於 2018 年 2 月 7 日公開。
影響:直到 1.9.9 / 1.10.1
已在 Apache Ant 1.8.4 中修復
低:拒絕服務 CVE-2012-2098
Apache Ant 中的 bzip2 壓縮串流在內部使用排序演算法,在非常重複的輸入上具有無法接受的最差情況效能。特別設計的輸入到 Ant 的 <bzip2> 任務中,可讓處理程序花費很長的時間,同時使用所有可用的處理時間,有效導致拒絕服務。
已於 2012 年 4 月 12 日首次向安全團隊報告,並於 2012 年 5 月 23 日公開。
影響:1.5 - 1.8.3
錯誤和遺漏
請將任何錯誤或遺漏報告給 開發人員郵寄清單。