CVE-2020-27986(Sonarqube敏感信息泄漏) 漏洞修复

Posted 架构艺术AA

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CVE-2020-27986(Sonarqube敏感信息泄漏) 漏洞修复相关的知识,希望对你有一定的参考价值。

一、漏洞修复说明

针对sonarqube的漏洞CVE-2020-27986修复方案。

SonarQube 8.4.2.36762 允许远程攻击者通过 api/settings/values URI 发现明文 SMTP、SVN 和 GitLab 凭据。注意:据报道,供应商对 SMTP 和 SVN 的立场是“配置它是管理员的责任”。

该漏洞为2020年10月披露,近期发现较多境外媒体爆料多起源代码泄露事件,涉及我国多个机构和企业的SonarQube代码审计平台。

二、漏洞攻击复现

直接访问可以看到很多未授权的api信息

http://192.168.11.100:9000/api/settings/values

也可以获取接口信息

http://192.168.11.100:9000/api/webservices/list

 

 三、漏洞修复

该漏洞受影响的版本

SonarQube < 8.6

安全的版本

SonarQube >=8.6

修复方案1:如果sonarqube版本低于8.6,请升级版本

实际我们的环境的sonarqube为9.3,也被扫描出漏洞

考虑是我们sonarqube设置的问题

在sonarqube官网的安全设置页找到答案

https://docs.sonarqube.org/latest/instance-administration/security/

原来是为了方便研发访问,sonarqube关闭了Force user authentication功能

 看上面的描述,如果关闭的话,会允许匿名用户访问sonarqube UI或者通过web api获取项目数据。

开启Sonarqube的Force user authentication功能,禁止未授权的用户访问SQ。

以上是关于CVE-2020-27986(Sonarqube敏感信息泄漏) 漏洞修复的主要内容,如果未能解决你的问题,请参考以下文章

相敏检波原理及数字实现

相敏检波原理及数字实现

本地安装SonarQube之二——安装SonarQube

SonarQube 插件和 SonarQube 规则之间有啥关系?

Jenkins 使用 SonarQube 扫描 Coding

sonarqube怎么激活质量配置