共计 1356 个字符,预计需要花费 4 分钟才能阅读完成。
1. 破绽形容
近日,云起无垠的无垠代码含糊测试零碎通过对 json parse 库、MojoJson 进行检测发现多个 CVE 破绽,破绽编号为:CVE-2023-23083 ~ CVE-2023-23088,该系列破绽皆为内存类破绽,破绽容许攻击者执行恶意代码进行攻打,从而造成严重后果。其中,CVE-2023-23086~CVE-2023-23088 已公开。
MojoJson 是一个极其简略且超疾速的 JSON 解析器。解析器反对解析 Json 格局,并提供简略的 API 来拜访不同类型的 Json 值。此外,外围算法能够很容易地用各种编程语言实现。
JSON.parse() 是 Javascript 中一个罕用的 JSON 转换方法,JSON.parse() 能够把 JSON 规定的字符串转换为 JSONObject,JSON.parse() 很不便,并且简直反对所有浏览器。
针对此类破绽,无垠代码含糊测试零碎均给出了相应倡议。
2. 破绽详情
① CVE-2023-23086 func SkipString 中堆缓冲区溢出
MojoJson v1.2.3 中的缓冲区溢出破绽容许攻击者通过 SkipString 函数执行任意代码。
破绽等级:重大;CVSS v3.1 破绽评分:9.8
检测截图:
② CVE-2023-23087 函数 Destory 中指针谬误
在 MojoJson v1.2.3 中发现了一个问题,容许攻击者通过 destroy 函数执行任意代码。
破绽等级:重大;CVSS v3.1 破绽评分:9.8
检测截图:
③ CVE-2023-23088 json_value_parse 堆缓冲区溢出
Barenboim json-parser master 和 v1.1.0 中的缓冲区溢出破绽已在 v1.1.1 中修复,容许攻击者通过 json_value_parse 函数执行任意代码。
破绽等级:重大;CVSS v3.1 破绽评分:9.8
检测截图:
3. 解决方案
无垠代码含糊测试零碎针对每一个 CVE 破绽都给出了处理计划,可参照如上截图细看。
4. 无垠代码含糊测试零碎
无垠代码含糊测试零碎是一款基于 Fuzzing 技术研发的灰盒检测工具,通过它不仅能够发现逻辑类破绽,还能找到内存毁坏的破绽,比方缓冲区溢出、内存泄露、条件竞争等。该产品技术基于海量测试用例,交融笼罩疏导、人工智能 AI 等关键技术,赋能软件开发的开发、测试、运维、部署等阶段,在软件上线之前发现已知及未知破绽,能够更好的避免业务零碎带病上线。
参考链接:
https://nvd.nist.gov/vuln/det…
https://github.com/scottcgi/M…
https://nvd.nist.gov/vuln/det…
https://github.com/scottcgi/M…
https://nvd.nist.gov/vuln/det…
https://github.com/Barenboim/…
云起无垠(https://www.clouitera.com)是新一代智能含糊测试领跑者,采纳新一代 Fuzzing 技术全流程赋能软件供应链与开发平安,基于智能含糊测试引擎为协定、代码、数据库、API、Web3.0 等利用提供弱小的软件平安自动化剖析能力,从源头助力企业自动化检测并助其修复业务系统安全问题,为每行代码平安运行保驾护航。