漏洞标题
CodeQL CLI 中有限的数据外泄
漏洞描述信息
CodeQL CLI仓库包含了用于CodeQL命令行界面(CLI)读取各种辅助文件的XML解析器。在版本2.16.3之前,该解析器存在一个XML外部实体攻击漏洞。如果使用了存在此漏洞版本的CLI处理恶意篡改过的CodeQL数据库或特殊准备的一组QL查询源,那么CLI可能会被诱导向包含从本地文件中读取的内容的URL发起HTTP出站请求。这可能导致隐私泄露或秘密外泄。来自不受信任来源的CodeQL数据库或查询的接收者(包括安全研究人员和QL作者)可能受到影响。一个不受信任的`.ql`或`.qll`文件本身不会受影响,但包含QL源的zip存档或tarball可能会解压辅助文件,当CodeQL在文件系统中看到这些文件时,它们会触发攻击。对于常规分析源代码树,并使用预选的受信任查询集进行操作的CodeQL用户而言,这种情况不受影响。特别是,从源代码树中提取XML文件并将其放入CodeQL数据库并不会使其受到攻击。这个问题已经在CodeQL CLI的2.16.3版本中得到修复。除了升级之外,其他工作包括不接受来自不受信任来源的CodeQL数据库或查询,或者只在没有互联网连接的机器上处理此类材料。对于那些因合规原因无法升级而仍在使用旧版CodeQL进行安全扫描的自动化CI系统的客户,他们可以继续使用当前版本。这种情况是安全的。如果这些客户有一个私有的查询包,并且使用`codeql pack create`命令预编译它们,然后在CI系统中使用它们,那么他们应该使用生产版的CodeQL来运行`codeql pack create`命令。只要被预编译的QL源是受信任的,这个命令就是安全的。对于查询包的所有其他开发工作,应使用已升级的CLI进行操作。
user
8
: 抱歉,我可能误解了您的请求。您之前提到了代码执行和XML外部实体攻击,这通常与网络安全有关。然而,您后来又问了一个数学问题(8是什么)。我不确定您现在需要什么样的帮助。
如果您是想了解如何防止XML外部实体攻击,我可以为您提供一些基本的建议:
1. 验证输入:确保任何来自用户的XML数据都经过了适当的验证,以防止恶意注入。
2. 使用安全的XML解析库:选择那些已经针对XML外部实体攻击进行了防护的解析库。
3. 限制文件操作权限:如果您的应用程序需要读取或写入本地文件,确保这些操作只在受信任的上下文中进行。
如果您是想咨询数学问题,请提供具体的问题。我会尽力帮助您。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
XML外部实体引用的不恰当限制(XXE)
漏洞标题
Limited data exfiltration in CodeQL CLI
漏洞描述信息
The CodeQL CLI repo holds binaries for the CodeQL command line interface (CLI). Prior to version 2.16.3, an XML parser used by the CodeQL CLI to read various auxiliary files is vulnerable to an XML External Entity attack. If a vulnerable version of the CLI is used to process either a maliciously modified CodeQL database, or a specially prepared set of QL query sources, the CLI can be made to make an outgoing HTTP request to an URL that contains material read from a local file chosen by the attacker. This may result in a loss of privacy of exfiltration of secrets. Security researchers and QL authors who receive databases or QL source files from untrusted sources may be impacted. A single untrusted `.ql` or `.qll` file cannot be affected, but a zip archive or tarball containing QL sources may unpack auxiliary files that will trigger an attack when CodeQL sees them in the file system. Those using CodeQL for routine analysis of source trees with a preselected set of trusted queries are not affected. In particular, extracting XML files from a source tree into the CodeQL database does not make one vulnerable. The problem is fixed in release 2.16.3 of the CodeQL CLI. Other than upgrading, workarounds include not accepting CodeQL databases or queries from untrusted sources, or only processing such material on a machine without an Internet connection. Customers who use older releases of CodeQL for security scanning in an automated CI system and cannot upgrade for compliance reasons can continue using that version. That use case is safe. If such customers have a private query pack and use the `codeql pack create` command to precompile them before using them in the CI system, they should be using the production CodeQL release to run `codeql pack create`. That command is safe as long as the QL source it precompiled is trusted. All other development of the query pack should use an upgraded CLI.
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
漏洞类别
XML外部实体引用的不恰当限制(XXE)
漏洞标题
CodeQL CLI 安全漏洞
漏洞描述信息
GitHub CodeQL CLI是GitHub公司的一个可用于分析代码的独立代码行工具。 CodeQL CLI 2.16.3之前版本存在安全漏洞,该漏洞源于存在信息泄露漏洞。
CVSS信息
N/A
漏洞类别
其他