Artifactory XRAY échoue lors de l'analyse d'images contenant des packages Golang en raison des limitations du taux de compression de l'indexeur

Artifactory XRAY échoue lors de l'analyse d'images contenant des packages Golang en raison des limitations du taux de compression de l'indexeur. Ce problème peut empêcher la découverte de vulnérabilités, augmentant ainsi le risque d'attaques du système. L'équipe Artifactory XRAY travaille activement à la résolution de ce problème et prévoit de publier un correctif dans la prochaine version. D'ici là, il est conseillé aux utilisateurs d'être conscients de ce problème lors de la numérisation d'images avec Artifactory XRAY et de prendre des mesures supplémentaires pour garantir la sécurité de leurs systèmes. L'éditeur PHP Apple continuera de prêter attention à l'évolution de ce problème et fournira aux lecteurs des mises à jour pertinentes en temps opportun.

Contenu de la question

J'ai récemment rencontré un problème XRAY lors de l'analyse d'images Docker contenant des packages Golang et j'ai intercepté l'erreur suivante

TarOpener.DeepArchiveScan) --- Caused by: total bytes limit reached with the following values

J'ai étudié ce problème et il est dû à la limitation par rayons X du taux de compression des paquets d'index, qui vise à empêcher les attaques de bombes zip (https://jfrog.com/help/r/xray-why-am-i-getting - une erreur de limite totale d'octets atteinte lors de l'indexation d'un paquet dans Xray/xray pourquoi suis-je en train d'obtenir une limite totale d'octets atteinte d'un paquet d'indexation dans une erreur Xray) .

Je repousse toujours mes limites. Cela fonctionne pendant un certain temps, mais il semble qu'à chaque fois que Golang est mis à jour, la taille du fichier zip devient de plus en plus grande.

Quelqu'un a-t-il mis en œuvre une solution à long terme à ce problème ou a-t-il une nouvelle idée autre que simplement fixer la limite à une valeur de plafond extrême ? En gros, je dois presque doubler à chaque fois ?

Solution

Golang a inséré le fichier pax-bad-hdr-large.tar.bz2 dans son package, qui est un test pour les attaques à la bombe zip.

Une valeur de 4600 devrait résoudre ce taux de compression de fichier.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!