Apache Ant 安全报告
报告 Apache Ant 的新安全问题
Apache 软件基金会在消除针对其产品的安全问题和拒绝服务攻击方面采取了非常积极的立场。
我们强烈鼓励人们首先向我们的私人安全邮件列表报告此类问题,然后再在公共论坛上披露这些问题。
请注意,安全邮件列表仅应用于报告未公开的安全漏洞和管理修复此类漏洞的过程。我们无法在此地址接受定期错误报告或其他查询。发送到此地址的所有与我们源代码中未公开的安全问题无关的邮件都将被忽略。
如果您需要报告非未公开安全漏洞的错误,请使用错误报告页面。
有关以下问题:
- 如果漏洞适用于您的特定应用程序
- 获取有关已发布漏洞的更多信息
- 补丁和/或新版本的可用性
应发送至用户邮件列表。有关如何订阅的详细信息,请参阅邮件列表页面。
私人安全邮寄地址是:security@apache.org
Apache Ant 安全漏洞
本页列出了 Apache Ant 已发布版本中修复的所有安全漏洞。开发团队会给每个漏洞一个安全影响评级 - 请注意,该评级可能因平台而异。我们还列出了已知该缺陷影响的 Ant 版本,如果缺陷尚未得到验证,则列出带问号的版本。
请注意,从未提供二进制补丁。如果您需要应用源代码补丁,请使用您正在使用的 Ant 版本的构建说明。
如果您需要有关构建 Ant 的帮助或有关按照说明缓解此处列出的已知漏洞的其他帮助,请将您的问题发送到公共Ant 用户邮件列表。
如果您遇到未列出的安全漏洞或其他影响安全的意外行为,或者此处的描述不完整,请私下向 Apache 安全团队报告。谢谢。
已在 Apache Ant 1.9.16 / Ant 1.10.11 中修复
低:拒绝服务 CVE-2021-36373 和CVE-2021-36374。
当读取特制的存档时,Apache Ant 构建可以分配大量内存,最终导致内存不足错误,即使对于小输入也是如此。这可以用来破坏使用 Apache Ant 的构建。
它会影响读取(或更新)tar 存档以及使用 zip 格式或派生格式的存档。例如,ZIP 档案中常用的派生格式有 JAR 文件和许多 Office 文件。
此问题已在修订版6594a2d中修复 。
这些问题与 OSS Fuzz 检测到的 Apache Commons Compress 中存在的CVE-2021-35517 和CVE-2021-36090类似。
影响:截至 2015 年 9 月 1 日 / 2010 年 10 月 1 日。1.4 之前的版本不受影响,1.9.0 之前的版本读取 tar 存档时不受影响。
Apache Ant 1.10.9 中已修复
中:不安全临时文件漏洞 CVE-2020-11979
作为CVE-2020-1945 的缓解措施 ,Apache Ant 1.10.8 更改了它创建的临时文件的权限,以便仅允许当前用户访问它们。不幸的是,fixcrlf 任务删除了临时文件并创建了一个没有上述保护的新文件,从而有效地抵消了这一努力。
这仍然允许攻击者将修改后的源文件注入构建过程。
缓解措施:针对 CVE-2020-11979 和 CVE-2020-1945 的最佳缓解措施仍然是让 Ant 使用仅当前用户可读和可写的目录。
1.10.8和1.9.15版本的用户可以使用Ant属性ant.tmpdir来指向这样的目录,1.1到1.9.14和1.10.0到1.10.7版本的用户应该设置java.io.tmpdir系统属性。
如果上述两个属性均未设置,Ant 1.10.9 还将尝试创建一个只能由当前用户访问的临时目录,但如果底层文件系统不允许,则可能无法创建临时目录。
显式设置要使用的目录并设置相应的属性是在每个平台上都有效的唯一缓解措施。
此问题已在修订版f7159e8a084a3fcb76b933d393df1fc855d74d78和 87ac51d3c22bcf7cfd0dc07cb0bd04a496e0d428中修复 。
该情况首次于 2020 年 6 月 1 日向安全团队报告,并于 2020 年 9 月 30 日公开
影响:直到1.10.8
Apache Ant 1.10.8 中已修复
中:不安全临时文件漏洞 CVE-2020-1945
Apache Ant 使用 Java 系统属性标识的默认临时目录来
java.io.tmpdir执行多个任务,因此可能会泄漏敏感信息。fixcrlf 和 Replaceregexp 任务还将文件从临时目录复制回构建树,从而允许攻击者将修改后的源文件注入构建过程。
缓解措施:版本 1.1 至 1.9.14 和 1.10.0 至 1.10.7 的 Ant 用户应在运行 Ant 之前将 java.io.tmpdir 系统属性设置为指向仅当前用户可读和可写的目录。
版本 1.9.15 和 1.10.8 的用户可以改用 Ant 属性ant.tmpfile。如果底层文件系统允许,Ant 1.10.8 的用户可以依靠 Ant 保护临时文件,但我们仍然建议使用私有临时目录。
此问题已在修订版9c1f4d905da59bf446570ac28df5b68a37281f35、 041b058c7bf10a94d56db3ca9dba38cf90ab9943和 a8645a151bc706259fb1789ef587d05482d98612中修复 。
此情况首次于 2020 年 1 月 29 日向安全团队报告,并于 2020 年 5 月 13 日公开
影响:直到1.10.7
在 Apache Ant 1.9.10 / Ant 1.10.2 中已修复
低:拒绝服务 CVE-2017-5645
使用 Apache Ants Log4jListener 时,版本 1.x 中的底层 Apache Log4j 库可能存在安全问题。
请注意,Log4j 1.x 已达到其生命周期,不再维护。有关从 Log4j 1.x 迁移的详细信息,请咨询 Apache Log4j 团队。
此问题已在修订版2b53103932031a1d2321f5dc890ede55a9833f95和 146df361556b499f2fa7d34f58a86508b9492652中修复 。
该情况首次于 2018 年 1 月 8 日向安全团队报告,并于 2018 年 2 月 7 日公开。
影响:直到 1.9.9 / 1.10.1
Apache Ant 1.8.4 中已修复
低:拒绝服务 CVE-2012-2098
Apache Ant 中的 bzip2 压缩流内部使用排序算法,在非常重复的输入上,最坏情况下的性能无法接受。对 Ant 任务的特制输入<bzip2>可用于使进程花费很长时间,同时有效地耗尽所有可用的处理时间,从而导致拒绝服务。
此问题已在修订版1340895和 1340990中修复 。
该情况首次于 2012 年 4 月 12 日向安全团队报告,并于 2012 年 5 月 23 日公开。
影响:1.5 - 1.8.3
错误和遗漏
请向开发邮件列表报告任何错误或遗漏。