Penelitian Menunjukkan Lebih dari 100.000 Library Terpengaruh Oleh Kerentanan Maven CVE-2021-26291

Rilis Maven terbaru 3.8.1 berisi perbaikan kerentanan keamanan CVE-2021-26291. Terdeteksi dan dilaporkan oleh peneliti keamanan Jonathan Leitschuh, kerentanan tersebut memengaruhi lebih dari 100.000 perpustakaan di Maven Central, menurut tim penelitian dan pengetahuan keamanan WhiteSource.

Jonathan Leitschuh menindaklanjuti POC yang dilakukan oleh Cédric Champeau tentang kerentanan injeksi lintas repositori Maven (XRI).

Kerentanan, yang dipublikasikan dengan perbaikan yang sudah tersedia, dapat mengakibatkan serangan man-in-the-middle (MitM) karena POM di Maven Central dengan repositori khusus yang merujuk ke URL melalui HTTP, bukan HTTPS.

Menggunakan HTTP alih-alih HTTPS berpotensi menyebabkan serangan man-in-the-middle. Serangan MitM terjadi ketika penyerang memasukkan diri mereka ke dalam jaringan pengguna. Penyerang MitM kemudian akan mengeksploitasi koneksi yang tidak aman untuk mengakses informasi pribadi pengguna dan merusaknya.

Penyerang dapat mengeksploitasi kerentanan Maven, dengan memasukkan diri mereka ke dalam jaringan pengguna, untuk mengganggu dan menggagalkan koneksi ke Maven Central Repository, yang menyebabkan penurunan versi ke sumber HTTP. Mereka kemudian dapat memasukkan paket berbahaya untuk mengeksekusi kode mereka di mesin pengguna selama pengembangan dan bahkan di lingkungan aplikasi.

Setelah masalah ini dilaporkan ke Maven, tim merilis versi terbaru dengan perbaikan. Maven memperbaiki akar masalah dalam versi terbarunya (3.8.1) dengan menambahkan konfigurasi mirror default untuk memblokir URL eksternal apa pun menggunakan HTTP.

Meskipun masalah keamanan ini telah diselesaikan, pengguna Maven dan pengelola proyek sumber terbuka harus memastikan bahwa mereka memperbarui ke versi Maven yang aman. Pengelola juga perlu memperbarui dependensi mereka untuk mengurangi risiko ini.

Tim WhiteSource Knowledge menganalisis data di database open source WhiteSource dan menemukan bahwa segera setelah rilis Maven yang baru, banyak library di Maven yang belum diperbaiki.

Setelah memindai semua perpustakaan di Maven Central, WhiteSource menemukan bahwa 27% library tetap terpengaruh oleh kerentanan ini.

Selengkapnya: White Source Software

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings