Apache Ant セキュリティレポート
Apache Ant に関する新しいセキュリティ問題の報告
Apache Software Foundation は、製品に対するセキュリティ問題とサービス拒否攻撃の排除に積極的に取り組んでいます。
公開フォーラムで開示する前に、そのような問題をまず当社の非公開セキュリティメーリングリストに報告されることを強くお勧めします。
セキュリティメーリングリストは、未公開のセキュリティ脆弱性の報告と、そのような脆弱性の修正プロセスの管理のみに使用してください。このアドレスでは、通常のバグレポートやその他の問い合わせを受け付けることはできません。ソースコードの未公開のセキュリティ問題に関連しない、このアドレスに送信されたすべてのメールは無視されます。
未公開のセキュリティ脆弱性ではないバグを報告する必要がある場合は、バグ報告ページ を使用してください。
に関する質問
- 脆弱性が特定のアプリケーションに適用されるかどうか
- 公開された脆弱性に関する詳細情報の入手
- パッチおよび/または新しいリリースの可用性
は、ユーザーメーリングリストに問い合わせてください。購読方法の詳細については、メーリングリストページ を参照してください。
非公開セキュリティメーリングリストのアドレスは次のとおりです。security@apache.org
Apache Ant セキュリティ脆弱性
このページには、Apache Ant のリリース版で修正されたすべてのセキュリティ脆弱性がリストされています。各脆弱性には、開発チームによってセキュリティへの影響度が評価されています。この評価はプラットフォームによって異なる場合があります。また、欠陥の影響を受けることがわかっている Ant のバージョンと、欠陥が検証されていない場合は疑問符付きのバージョンをリストしています。
バイナリパッチは提供されません。ソースコードパッチを適用する必要がある場合は、使用している Ant バージョンのビルド手順を使用してください。
Ant のビルドに関するヘルプや、ここに記載されている既知の脆弱性を軽減するための手順に関するヘルプが必要な場合は、公開されているAnt ユーザーメーリングリスト に質問を送信してください。
リストされていないセキュリティ脆弱性や、セキュリティへの影響があるその他の予期しない動作が発生した場合、またはここに記載されている説明が不完全な場合は、Apache セキュリティチームに非公開で報告してください。ご協力ありがとうございます。
Apache Ant 1.9.16 / Ant 1.10.11 で修正済み
低:サービス拒否 CVE-2021-36373 および CVE-2021-36374。
特別に細工されたアーカイブを読み取ると、Apache Ant ビルドは大量のメモリを割り当て、最終的にメモリ不足エラーを引き起こす可能性があります。これは、小さな入力でも発生する可能性があり、Apache Ant を使用したビルドを妨害するために使用できます。
tar アーカイブ、zip 形式、またはそれから派生した形式のアーカイブの読み取り(または更新)に影響します。ZIP アーカイブから一般的に使用される派生形式には、JAR ファイルや多くのオフィスファイルなどがあります。
これは、リビジョン 6594a2d で修正されました。
これらの問題は、OSS Fuzz によって検出された Apache Commons Compress に存在する CVE-2021-35517 および CVE-2021-36090 と似ています。
影響を受けるバージョン:1.9.15 / 1.10.10 まで。1.4 より前のバージョンは影響を受けません。1.9.0 より前のバージョンは、tar アーカイブの読み取り時には影響を受けません。
Apache Ant 1.10.9 で修正済み
中:安全でない一時ファイルの脆弱性 CVE-2020-11979
CVE-2020-1945 の軽減策として、Apache Ant 1.10.8 は作成した一時ファイルの権限を変更し、現在のユーザーのみがアクセスできるようにしました。残念ながら、fixcrlf タスクは一時ファイルを削除し、その保護なしに新しい一時ファイルを作成したため、その努力は事実上無駄になりました。
これにより、攻撃者は変更されたソースファイルをビルドプロセスに挿入できる可能性があります。
軽減策:CVE-2020-11979 と CVE-2020-1945 に対する最善の軽減策は、現在のユーザーのみが読み書きできるディレクトリを Ant が使用するようにすることです。
バージョン 1.10.8 と 1.9.15 のユーザーは、Ant プロパティ ant.tmpdir を使用してそのようなディレクトリを指定できます。バージョン 1.1 ~ 1.9.14 および 1.10.0 ~ 1.10.7 のユーザーは、java.io.tmpdir システムプロパティを設定する必要があります。
Ant 1.10.9 は、上記のいずれのプロパティも設定されていない場合にも、現在のユーザーのみがアクセスできる一時ディレクトリを作成しようとしますが、基盤となるファイルシステムが許可しない場合は作成に失敗する可能性があります。
使用するディレクトリを明示的に設定し、それぞれのプロパティを設定することが、すべてのプラットフォームで機能する唯一の軽減策です。
これは、リビジョン f7159e8a084a3fcb76b933d393df1fc855d74d78 と 87ac51d3c22bcf7cfd0dc07cb0bd04a496e0d428 で修正されました。
これは、2020 年 6 月 1 日にセキュリティチームに最初に報告され、2020 年 9 月 30 日に公開されました。
影響を受けるバージョン:1.10.8 まで
Apache Ant 1.10.8 で修正済み
中:安全でない一時ファイルの脆弱性 CVE-2020-1945
Apache Ant は、Java システムプロパティ java.io.tmpdir によって識別されるデフォルトの一時ディレクトリをいくつかのタスクで使用し、機密情報を漏洩する可能性があります。fixcrlf と replaceregexp タスクは、一時ディレクトリからビルドツリーにファイルをコピーするため、攻撃者が変更されたソースファイルをビルドプロセスに挿入できる可能性があります。
軽減策:バージョン 1.1 ~ 1.9.14 および 1.10.0 ~ 1.10.7 の Ant ユーザーは、Ant を実行する前に、現在のユーザーのみが読み書きできるディレクトリを指すように java.io.tmpdir システムプロパティを設定する必要があります。
バージョン 1.9.15 と 1.10.8 のユーザーは、代わりに Ant プロパティ ant.tmpfile を使用できます。Ant 1.10.8 のユーザーは、基盤となるファイルシステムが許可する場合、Ant が一時ファイルを保護することに依存できますが、それでもプライベートの一時ディレクトリを使用することをお勧めします。
これは、リビジョン 9c1f4d905da59bf446570ac28df5b68a37281f35、041b058c7bf10a94d56db3ca9dba38cf90ab9943、および a8645a151bc706259fb1789ef587d05482d98612 で修正されました。
これは、2020 年 1 月 29 日にセキュリティチームに最初に報告され、2020 年 5 月 13 日に公開されました。
影響を受けるバージョン:1.10.7 まで
Apache Ant 1.9.10 / Ant 1.10.2 で修正済み
低:サービス拒否 CVE-2017-5645
Apache Ants Log4jListener を使用する場合、バージョン 1.x の基盤となる Apache Log4j ライブラリにセキュリティ上の問題が発生する可能性があります。
Log4j 1.x はサポートが終了しており、メンテナンスされなくなっていることに注意してください。Log4j 1.x からの移行の詳細については、Apache Log4j チームにお問い合わせください。
これは、リビジョン 2b53103932031a1d2321f5dc890ede55a9833f95 と 146df361556b499f2fa7d34f58a86508b9492652 で修正されました。
これは、2018 年 1 月 8 日にセキュリティチームに最初に報告され、2018 年 2 月 7 日に公開されました。
影響を受けるバージョン:1.9.9 / 1.10.1 まで
Apache Ant 1.8.4 で修正済み
低:サービス拒否 CVE-2012-2098
Apache Ant の bzip2 圧縮ストリームは、内部的に非常に反復的な入力に対して許容できない最悪の場合の性能を持つソートアルゴリズムを使用しています。Ant の <bzip2> タスクへの特別に細工された入力を使用して、プロセスが非常に長い時間をかけるようにし、使用可能な処理時間をすべて消費して、事実上サービス拒否につながる可能性があります。
これは、リビジョン 1340895 と 1340990 で修正されました。
これは、2012 年 4 月 12 日にセキュリティチームに最初に報告され、2012 年 5 月 23 日に公開されました。
影響を受けるバージョン:1.5 - 1.8.3
エラーと脱落
エラーや脱落は、開発メーリングリスト に報告してください。