转载

OpenRASP v0.31 支持 resin 服务器并解决 JDK 兼容性问题

OpenRASP v0.31 已发布,OpenRASP 是百度安全推出的一款免费、开源的自适应安全产品

更新如下:

重大变更

  • Java 版本

    • 在升级前,用户需要手动删除 rasp/conf/rasp-log4j.xml 文件

    • 待应用启动后,OpenRASP 会自动生成新的日志配置文件

    • Java 包名改为 com.baidu.rasp

    • 解决高版本 JDK 兼容性问题, ISSUE: rhino jdk8u162 兼容性问题 #98

    • 为了降低 Hook 点开发成本,Hook 框架改为 JavaAssist

  • RaspInstall - OpenRASP 自动安装程序

    • java -jar RaspInstall.jar -install /home/tomcat

    • java -jar RaspInstall.jar -uninstall /home/tomcat

    • 为了支持自动卸载,我们调整了 RaspInstall.jar 的命令行参数

算法变更

  • SQLi 检测算法 #2,默认关闭常量对比算法

    • 在真实业务里,经常有编码不规范的情况,会造成误报,e.g AND ((0='' OR 0='0')

  • 命令执行检测逻辑调整

    • 为了检测非常规的反序列化、命令执行漏洞,当命令执行来自非 HTTP 请求,也将会进入检测点

    • 适合检测 CVE-2016-8735 、 CVE-2018-1270 等漏洞

新增功能

  • Java 版本增加 Ascii Logo,启动时打印

  • 增加 JDBC Prepared SQL Hook 点

  • 支持 Resin 3.X、4.X 服务器

  • 增加自定义编码配置,允许用户设置 context.parameter 的编码

  • 增加 jnotify 异常的获取

Bug 修复

  • 由 @园长MM 反馈

    • ProcessBuilder 存在绕过,我们将 Hook 点改为了更底层的 UNIXProcess、ProcessImpl 类

  • PHP 版本

    • 当文件不存在,file_put_contents 不会调用检测插件,已修复

    • 解决日志模块一处内存泄露问题

原文  https://www.oschina.net/news/96321/openrasp-0-31-released
正文到此结束
Loading...