修复安全漏洞

cve影响人工制品

以下是发现的影响Artifactory的cve列表固定．

CVE	严重程度	人工修复版本	修复描述
cve - 2021 - 42340	高	6.23.37	Apache Tomcat版本8.5.60升级到8.5.72。
cve - 2021 - 33037	媒介	6.23.31	升级到Apache Tomcat 8.5.68版本
cve - 2021 - 33037	媒介	6.23.31	升级到Apache Tomcat 8.5.68版本
cve - 2021 - 21341	高	6.23.15	升级到`Xstream`1.4.16版本。
freemarker - 124	高	6.23.15	升级到`org.freemarker`2.3.31版本。
cve - 2021 - 22112	高	6.23.15	升级到`Spring安全Web`5.4.5版本。
cve - 2021 - 25122	高	6.23.15	升级到Apache Tomcat 8.5.63版本。
cve - 2020 - 7226	高	6.23.1	升级`artifactory.war`在`cryptacular-1.1.1.jar`版本1.1.4。
cve - 2017 - 18640	高	6.23.0	升级`snakeyaml-1.23.jar`从1.26版本到1.27版本。
cve - 2020 - 7692	至关重要的	6.23.0	升级`google-oauth-client`从1.27版本到1.31版本的库。
cve - 2019 - 12402	媒介	6.23.0	升级`Commons-compress`Lib已升级到1.20版本。
cve - 2020 - 15586和Go问题golang.org/issue/34902	高	6.23.0	升级到最新版本的Go 1.14.9。
cve - 2019 - 20104	高	6.23.0	升级到Crowd lib升级到3.7.2版本。
cve - 2020 - 5398	媒介	6.20.0	升级的年代升级到版本5.1.13
cve - 2019 - 17563	媒介	6.20.0	Apache Tomcat升级到8.5.50版本。
cve - 2018 - 1000206	高	6.1	的实际值进行验证`X-Request-With`头，而不是检查它是否存在
cve - 2017 - 7525	至关重要的	6.1	FasterXML jackson-databind已升级到2.93和2.8.10版本，并包含了防止未经身份验证的远程代码执行的修复。
cve - 2016 - 8745	高	5.2.0	`Apache Tomcat`已升级到8.0.41版本，其中包括NIO HTTP连接器漏洞的修复
cve - 2016 - 8735	至关重要的	5.0.0	`Apache Tomcat`已升级到8.0.39版本
cve - 2016 - 3092	高	5.0.0	`Apache Tomcat`已升级到8.0.39版本
cve - 2016 - 6501	至关重要的	4.11.0	在人工LDAP设置中增加“安全LDAP搜索”功能，过滤存在漏洞的用户，防止LDAP中毒
cve - 2014 - 3623	高	4.10.0	升级了`wss4j`库升级到1.6.17和`Apache CXF`版本2.7.13
cve - 2015 - 0227	媒介	4.10.0	升级的`wss4j`图书馆版本1.6.17和`Apache CXF`版本2.7.13
cve - 2014 - 0114	高	4.10.0	升级`commons-beanutils`到1.9.2版本
cve - 2015 - 7940	媒介	4.8.1	升级了包含的相关库`Java充气城堡`库作为依赖项
cve - 2013 - 4517	媒介	4.8.0	升级了包含的相关库`Apache XML Security For Java`库作为依赖项
cve - 2015 - 4852	高	4.5.2	升级了`commons-collection`库升级到3.2.2版本
cve - 2015 - 3253	至关重要的	4.2.1	升级了`Groovy-all`库到2.4.4版本
cve - 2014 - 0107	高	4.2.1	升级了`Xalan`库到2.7.2版本
cve - 2014 - 3577	媒介	3.3.1	升级了`HttpClient`库升级到4.3.5版本

页面内容

没有CVE影响工件的漏洞

以下是没有影响Artifactory的CVE且已修复的漏洞列表。

描述	严重程度	人工修复版本
在某些情况下，通过身份验证的用户能够: 从Artifactory检索通常需要管理权限的环境信息。在没有执行这些操作的足够权限的情况下，将来自不同上游的二进制文件部署到Artifactory。	至关重要的	6.13.3, 6.14.4, 6.15.2, 6.16.2, 6.17.1, 6.18.1
在某些情况下，用户可以访问应用程序数据，否则这些数据应该只向管理员公开。	至关重要的	6.8.14, 6.9.3, 6.10.4
在某些情况下，未经授权的用户可能能够以另一个用户的身份向Artifactory发送格式不正确的REST API调用。	至关重要的	5.6.8, 5.7.3, 5.8.12, 5.9.8, 5.10.5, 5.11.5 6.0.4, 6.1.4, 6.2.1, 6.3.4, 6.4.2, 6.5.9
与SAML相关的身份验证漏洞可能会将Artifactory暴露给XSW攻击，这些攻击可能会嗅探和操纵SAML通信，导致对SAML登录响应的验证不正确。这可能会允许攻击者访问Artifactory中的任何用户。	高	6.5.13

cve不影响人工

以下是cve的列表不影响Artifactory。

CVE	严重程度	原因
cve - 2019 - 0232	高	的enableCmdLineArguments参数没有在与Artifactory绑定的Apache Tomcat中启用。
cve - 2018 - 8014	高	JFrog Apache Tomcat的版本是8.5.32，它不是易受攻击的版本之一。
cve - 2018 - 1275	高	JFrog Spring Framework的版本为4.1.8，不支持该版本，容易受到CVE的攻击。但是，由于JFrog没有实现STOMP代理，因此我们不会暴露于此漏洞
cve - 2018 - 8589	媒介	JFrog不对Windows操作系统中的漏洞负责。任何使用本地环境的人都应该使Windows操作系统保持最新状态。
cve - 2018 - 11776	高	不影响Artifactory，因为JFrog不使用Apache Struts。
cve - 2018 - 5925	高	不影响Artifactory，因为该问题与某些HP喷墨打印机有关，而与JFrog无关。
cve - 2018 - 5924	高	不影响Artifactory，因为该问题与某些HP喷墨打印机有关，而与JFrog无关。
cve - 2018 - 1260	高	不影响人工，因为JFrog不使用Spring Security Oauth。
cve - 2018 - 1259	高	不影响Artifactory，因为JFrog不使用Spring Data Commons。
cve - 2017 - 5664	高	不影响Artifactory，因为默认值为`只读的`DefaultServlet中的属性是“`真正的“(readOnly = true)`在我们的环境中。正如在CVE，你只有脆弱:“……如果DefaultServlet被配置为允许写……”
cve - 2017 - 5648	至关重要的	不影响人工，既然`tomcat webapps /`文件夹只包含捆绑的Tomcat发行版使用的Artifactory WAR和Access WAR文件。
cve - 2017 - 5647	高	不影响Artifactory，因为这个问题只涉及到Artifactory没有使用的“发送文件”服务。
cve - 2017 - 5638	至关重要的	Artifactory是不受Apache Struts 2漏洞影响。
CVE-2014-0097年	高	对于LDAP身份验证，Artifactory严格使用ArtifactoryLdapAuthenticationProvider类，该类使用ArtifactoryLdapAuthenticator，包装ArtifactoryBindAuthenticator。后一个类用于执行实际的身份验证并检查对于空密码。 Artifactory不使用任何其他LDAP提供程序，例如ActiveDirectoryLdapAuthenticationProvider。这JIRA问题指的是一个较旧的类名，ActiveDirectoryLdapAuthenticator，它不是Spring安全和Artifactory的一部分。
cve - 2008 - 4108	高	不影响Artifactory，既然ArtifactoryJfrog不需要安装Python;CVE与Jfrog无关。
cve - 2005 - 2541	高	不影响Artifactory，既然Artifactory使用Tar 1.30.1。