Apache Ant site Apache Ant logo

Apache Ant 网站
首页
项目
ApacheCon - logo
 

Apache Ant 安全报告

报告 Apache Ant 的新安全问题

Apache 软件基金会积极采取措施消除针对其产品的安全问题和拒绝服务攻击。

我们强烈建议您在公开论坛披露之前,首先将此类问题报告给我们的私人安全邮件列表。

请注意,安全邮件列表仅用于报告未公开的安全漏洞并管理修复此类漏洞的过程。我们无法接受此地址的常规错误报告或其他查询。发送到此地址的所有与我们源代码中未公开的安全问题无关的邮件将被忽略。

如果您需要报告不是未公开安全漏洞的错误,请使用 错误报告页面

关于

应向用户邮件列表提出。有关如何订阅的详细信息,请参见 邮件列表页面

私人安全邮件地址为:[email protected]

Apache Ant 安全漏洞

此页面列出了在 Apache Ant 的发布版本中修复的所有安全漏洞。每个漏洞都由开发团队提供安全影响等级 - 请注意,此等级可能因平台而异。我们还列出了已知受此缺陷影响的 Ant 版本,以及未经验证的缺陷的版本,并在版本号后加问号。

请注意,永远不会提供二进制补丁。如果您需要应用源代码补丁,请使用您正在使用的 Ant 版本的构建说明。

如果您在构建 Ant 或其他方面需要帮助,或者需要帮助按照此处列出的已知漏洞的说明进行缓解,请将您的问题发送到公共的 Ant 用户邮件列表

如果您遇到未列出的安全漏洞或其他具有安全影响的意外行为,或者此处描述不完整,请私下向 Apache 安全团队报告。谢谢。

在 Apache Ant 1.9.16 / Ant 1.10.11 中修复

低:拒绝服务 CVE-2021-36373CVE-2021-36374

在读取特制存档时,Apache Ant 构建可能会分配大量内存,最终导致内存不足错误,即使对于较小的输入也是如此。这可用于破坏使用 Apache Ant 的构建。

它影响读取(或更新)tar 存档以及使用 zip 格式或从中派生的格式的存档。ZIP 存档的常用派生格式包括 JAR 文件和许多办公文件。

此问题已在修订版 6594a2d 中修复。

这些问题类似于 Apache Commons Compress 中的 CVE-2021-35517CVE-2021-36090,这些问题已由 OSS Fuzz 检测到。

影响:直到 1.9.15 / 1.10.10。1.4 之前的版本不受影响,1.9.0 之前的版本在读取 tar 存档时不受影响。

在 Apache Ant 1.10.9 中修复

中:不安全的临时文件漏洞 CVE-2020-11979

为了缓解 CVE-2020-1945,Apache Ant 1.10.8 更改了其创建的临时文件的权限,以便只有当前用户才能访问它们。不幸的是,fixcrlf 任务删除了临时文件并创建了一个没有该保护的新文件,实际上抵消了该努力。

这将仍然允许攻击者将修改后的源文件注入构建过程。

缓解措施:针对 CVE-2020-11979 和 CVE-2020-1945 的最佳缓解措施仍然是让 Ant 使用只有当前用户可以读取和写入的目录。

1.10.8 和 1.9.15 版本的用户可以使用 Ant 属性 ant.tmpdir 指向此类目录,1.1 到 1.9.14 和 1.10.0 到 1.10.7 版本的用户应设置 java.io.tmpdir 系统属性。

如果未设置上述任何属性,Ant 1.10.9 也会尝试创建一个只有当前用户可以访问的临时目录,但如果底层文件系统不允许,则可能无法创建。

明确设置要使用的目录并设置相应的属性是唯一在所有平台上都能起作用的缓解措施。

此问题已在修订版 f7159e8a084a3fcb76b933d393df1fc855d74d7887ac51d3c22bcf7cfd0dc07cb0bd04a496e0d428 中修复。

此问题于 2020 年 6 月 1 日首次报告给安全团队,并于 2020 年 9 月 30 日公开。

影响:直到 1.10.8

在 Apache Ant 1.10.8 中修复

中:不安全的临时文件漏洞 CVE-2020-1945

Apache Ant 使用由 Java 系统属性 java.io.tmpdir 标识的默认临时目录来执行多个任务,因此可能会泄漏敏感信息。fixcrlf 和 replaceregexp 任务还会将文件从临时目录复制回构建树,允许攻击者将修改后的源文件注入构建过程。

缓解措施:1.1 到 1.9.14 和 1.10.0 到 1.10.7 版本的 Ant 用户应在运行 Ant 之前设置 java.io.tmpdir 系统属性,使其指向只有当前用户可以读取和写入的目录。

1.9.15 和 1.10.8 版本的用户可以使用 Ant 属性 ant.tmpfile 代替。1.10.8 版本的 Ant 用户可以依赖 Ant 来保护临时文件(如果底层文件系统允许),但我们仍然建议使用私有临时目录。

此问题已在修订版 9c1f4d905da59bf446570ac28df5b68a37281f35041b058c7bf10a94d56db3ca9dba38cf90ab9943a8645a151bc706259fb1789ef587d05482d98612 中修复。

此问题于 2020 年 1 月 29 日首次报告给安全团队,并于 2020 年 5 月 13 日公开。

影响:直到 1.10.7

在 Apache Ant 1.9.10 / Ant 1.10.2 中修复

低:拒绝服务 CVE-2017-5645

在使用 Apache Ants Log4jListener 时,底层 Apache Log4j 库在 1.x 版本中可能存在安全问题。
请注意,Log4j 1.x 已达到生命周期结束,不再维护。有关从 Log4j 1.x 迁移的详细信息,请咨询 Apache Log4j 团队。

此问题已在修订版 2b53103932031a1d2321f5dc890ede55a9833f95146df361556b499f2fa7d34f58a86508b9492652 中修复。

此问题于 2018 年 1 月 8 日首次报告给安全团队,并于 2018 年 2 月 7 日公开。

影响:直到 1.9.9 / 1.10.1

在 Apache Ant 1.8.4 中修复

低:拒绝服务 CVE-2012-2098

Apache Ant 中的 bzip2 压缩流在内部使用排序算法,这些算法在非常重复的输入上的最坏情况性能不可接受。特制输入到 Ants' <bzip2> 任务可用于使进程花费很长时间,同时使用所有可用的处理时间,从而有效地导致拒绝服务。

此问题已在修订版 13408951340990 中修复。

此问题于 2012 年 4 月 12 日首次报告给安全团队,并于 2012 年 5 月 23 日公开。

影响:1.5 - 1.8.3

错误和遗漏

请将任何错误或遗漏报告给 开发人员邮件列表

版权所有 © 1999-2022 Apache 软件基金会,根据 Apache 许可证 2.0 版授权。

Apache Ant、Apache Ivy、Apache EasyAnt、Ant、Ivy、EasyAnt、Apache、Apache 羽毛标志以及 Apache Ant 项目标志是 Apache 软件基金会的商标。