Поиск CVE в Java

Snyk работает отлично

Попробуй, например mvn org.owasp:dependency-check-maven:check.

Открываешь в intelliji idea pom.xml и она тебе светит все cve зависимости с сылками и другими интим подробностями.

https://i.imgur.com/xkkVvvF.png

Ну или в таком виде - во всем зависимостям и проектам.

Для анализа самое то.

https://i.imgur.com/ImAoA1t.png

В условиях нет IDE. Просто установлен OpenJDK. На сервере без GUI.

В условиях нет IDE. Просто установлен OpenJDK. На сервере без GUI.

В условиях нет IDE. Просто установлен OpenJDK. На сервере без GUI.

В условиях нет IDE. Просто установлен OpenJDK. На сервере без GUI.

mvn это и не IDE. У тебя в какой виде java приложение?

Ты б хоть погуглил сначала

А разрабатываешь ты тоже на сервере?

У меня нет приложения! Я специально его не писал в условия. Просто установлена java и все!!!

Я ничего не разрабатываю. У меня скачан OpenJDK - мне надо найти в нем CVE если они есть. Без всяких IDE, разработок и т.д.

Давайте подумаем вместе с вами, если бы существовала такая программа, которая автоматически искала CVE в программах, то все CVE уже давно бы закрыли. Но раз CVE существуют, то такой программы нет. Для нахождения CVE в openjdk вам придется изучить с++/java и пойти копаться в исходниках. Придется понять как устроена jvm, какие процессы происходят под капотом, как происходит этап сборки и т.д. И после ознакомления можно уже начинать искать ошибки в логике программы. А существующие ЦВЕ можете проверить по версии openjdk и базе данных цве.

он какую то особую собрался искать, а не общие типа sqli, xss, lfi/rfi… там достаточно запрос выполнить и проверить статус и тело ответа

аааа… все понятно… каникулы, наверное. cve - это идентификатор уязвимости, выдаваемый специальной организацией. если ты собрался cve искать, то достаточно версию jdk узнать и на сайте посмотреть какие там cve… бредовая тема

ты собрался cve искать, то достаточно версию jdk узнать и на сайте посмотреть какие там cve

Да!!! Только сделать это через прогу (какую не знаю - потому и создал тему)!!! Вот Nginx и Tomcat - я проверяю через Nmap. Как проверить Java ???

какую не знаю

Внезапно java

ТС походу автоматизацию хочет.

Ты дурак? Зачем у тебя установлен openjdk, если у тебя нет приложений, которые им запускаются? Просто удали его и любые cve в openjdk перестанут тебя беспокоить

Никакую, све сами костылят под свои нужды.

ТС походу автоматизацию хочет.

2й правильный ответ!!! Ура!!!

Попрошу без выражений. Если есть значит нужно! Есть приложения - но они к теме не относятся! Есть openjdk (какая то версия) - что бы узнать все CVE - нужно лезть в инет и искать их на сайтах или тематических БД. Я ищу то что может делать такие проверки автоматически!!!

Если не понимаете - отвечать не обязательно…

Посмотри Vul4J

Это интересно - но эта утилита больше для QA. А тут простая задача - проверить установленную в системе версию OpenJDK на наличие уязвимостей через базы cve (или офф сайт) - руками это быстро, хотелось бы автоматики.

Nmap - это делает только для «УЖЕ» запущенных приложений (Nginx, Tomcat), но сам OpenJDK он не проверит - потому что его нет в процессах(

Ах вот оно чего. debsecan, например

Ооо!!! это уже что-то!!! Тесты провожу на бубунте, но на проде любят Rocky Linux. Интересно - а для Rocky Linux есть нечто подобное?

Да такого рода инструментов не один и коммерческие и некоммерческие, гугл в помощь. Если тебе надо решить узкую задачу с openjdk, то имхо проще bash/python скрипт написать, который запустит java –version, распарсит выхлоп и сходит на сайт cve.mitre.org

запустит java –version, распарсит выхлоп и сходит на сайт cve.mitre.org

Эта идея у меня была, думал что до меня кто-то уже такое делал. В любом случае спасибо! Вы решили этот вопрос, теперь можно что-то начинать делать!!!

Почитай про sbom, syft и osv.dev.

У меня скачан OpenJDK - мне надо найти в нем CVE

кулхаксор в треде