論文の概要: In the Magma chamber: Update and challenges in ground-truth vulnerabilities revival for automatic input generator comparison

• arxiv url: http://arxiv.org/abs/2503.19909v1
• Date: Tue, 25 Mar 2025 17:59:27 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-26 16:52:28.094256
• Title: In the Magma chamber: Update and challenges in ground-truth vulnerabilities revival for automatic input generator comparison
• Title（参考訳）: Magmaチャンバー:自動入力ジェネレータ比較のための地中脆弱性回復の更新と課題
• Authors: Timothée Riom, Sabine Houy, Bruno Kreyssig, Alexandre Bartel,
• Abstract要約: Magma氏は、現在のソフトウェアリリースで脆弱性のあるコードを再導入するフォワードポートの概念を紹介した。 彼らの成果は有望だが、現状では、このアプローチの保守性に対するアップデートが時間とともに欠落している。 我々は,MagmaのCVEの公開から4年後の可搬性を再評価することで,フォワードポーティングの課題を特徴づける。
• 参考スコア（独自算出の注目度）: 42.95491588006701
• License:
• Abstract: Fuzzing is a well-established technique for detecting bugs and vulnerabilities. With the surge of fuzzers and fuzzer platforms being developed such as AFL and OSSFuzz rises the necessity to benchmark these tools' performance. A common problem is that vulnerability benchmarks are based on bugs in old software releases. For this very reason, Magma introduced the notion of forward-porting to reintroduce vulnerable code in current software releases. While their results are promising, the state-of-the-art lacks an update on the maintainability of this approach over time. Indeed, adding the vulnerable code to a recent software version might either break its functionality or make the vulnerable code no longer reachable. We characterise the challenges with forward-porting by reassessing the portability of Magma's CVEs four years after its release and manually reintroducing the vulnerabilities in the current software versions. We find the straightforward process efficient for 17 of the 32 CVEs in our study. We further investigate why a trivial forward-porting process fails in the 15 other CVEs. This involves identifying the commits breaking the forward-porting process and reverting them in addition to the bug fix. While we manage to complete the process for nine of these CVEs, we provide an update on all 15 and explain the challenges we have been confronted with in this process. Thereby, we give the basis for future work towards a sustainable forward-ported fuzzing benchmark.
• Abstract（参考訳）: ファジィングは、バグや脆弱性を検出するための確立されたテクニックである。 AFLやOSSFuzzのようなファッジャやファッザプラットフォームの開発が進むにつれ、これらのツールのパフォーマンスをベンチマークする必要性が高まっている。 一般的な問題は、脆弱性ベンチマークが古いソフトウェアリリースのバグに基づいていることだ。 このような理由から、Magma氏は、現在のソフトウェアリリースで脆弱性のあるコードを再導入するフォワードポートの概念を紹介した。 彼らの成果は有望だが、現状では、このアプローチの保守性に対するアップデートが時間とともに欠落している。 実際、最近のソフトウェアバージョンに脆弱性のあるコードを追加することは、機能を破壊したり、脆弱性のあるコードをもはや到達できないようにするかもしれない。 我々は、リリースから4年後のMagmaのCVEのポータビリティを再評価し、現在のソフトウェアバージョンの脆弱性を手動で再導入することで、フォワードポートの課題を特徴づける。 本研究では,32個のCVEのうち17個について,簡便なプロセスが効率的であることが確認された。 さらに、他の15のCVEにおいて、自明なフォワードポーティングプロセスが失敗する理由についても検討する。 これには、フォワードポーティングプロセスを破るコミットを特定し、バグ修正に加えてそれをリターンすることが含まれる。 これらのCVEの9つのプロセスの完了に成功していますが、全15の更新と、このプロセスで直面した課題について説明しています。 これにより、持続的なフォワードポート型ファジリングベンチマークに向けた今後の取り組みの基盤を提供する。

関連論文リスト

• Do Large Language Model Benchmarks Test Reliability? [66.1783478365998]
  モデル信頼性の定量化について検討する。 信頼性評価におけるこのギャップにより、我々はいわゆるプラチナベンチマークの概念を提案する。 我々は、これらのプラチナベンチマークにおいて、幅広いモデルを評価し、実際、フロンティアLSMは、単純なタスクで失敗を示す。
  論文  参考訳（メタデータ） (2025-02-05T18:58:19Z)
• The Seeds of the FUTURE Sprout from History: Fuzzing for Unveiling Vulnerabilities in Prospective Deep-Learning Libraries [14.260990784121423]
  Futureは、新しく導入され、将来的なDLライブラリ用に調整された最初のユニバーサルファジィフレームワークである。 既存のライブラリからの履歴バグ情報と、特殊なコード生成のための微調整LDMを使用する。 バグ検出、バグ再現の成功率、コード生成の妥当性、APIカバレッジにおいて、既存のファジィアよりも大幅に優れています。
  論文  参考訳（メタデータ） (2024-12-02T09:33:28Z)
• TransferFuzz: Fuzzing with Historical Trace for Verifying Propagated Vulnerability Code [24.827298607328466]
  本稿では,新しい脆弱性検証フレームワークであるTransferFuzzを紹介する。 コードの再利用によって伝播する脆弱性が、新しいソフトウェアでトリガーできるかどうかを検証することができる。 CVEレポートに記載されている15の脆弱性に対して、影響のあるソフトウェアスコープを拡張することで、その効果を証明している。
  論文  参考訳（メタデータ） (2024-11-27T13:46:39Z)
• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• Fixing Security Vulnerabilities with AI in OSS-Fuzz [9.730566646484304]
  OSS-Fuzzは、オープンソースシステムの継続的な検証のための最も重要で広く使用されているインフラである。 セキュリティ脆弱性を修正するために、よく知られたAutoCodeRoverエージェントをカスタマイズします。 OSS-Fuzz脆弱性データを用いた経験から,LSMエージェントの自律性はセキュリティパッチの成功に有用であることがわかった。
  論文  参考訳（メタデータ） (2024-11-03T16:20:32Z)
• JailbreakBench: An Open Robustness Benchmark for Jailbreaking Large Language Models [123.66104233291065]
  ジェイルブレイク攻撃は、大きな言語モデル(LLM)が有害、非倫理的、またはその他の不快なコンテンツを生成する原因となる。 これらの攻撃を評価することは、現在のベンチマークと評価テクニックの収集が適切に対処していない、多くの課題を提示します。 JailbreakBenchは、以下のコンポーネントを備えたオープンソースのベンチマークである。
  論文  参考訳（メタデータ） (2024-03-28T02:44:02Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• Multi-Granularity Detector for Vulnerability Fixes [13.653249890867222]
  脆弱性修正のためのMiDa(Multi-Granularity Detector for Vulnerability Fixes)を提案する。 MiDasはコミットレベル、ファイルレベル、ハンクレベル、ラインレベルに対応して、コード変更の粒度ごとに異なるニューラルネットワークを構築する。 MiDasは、現在の最先端のベースラインをAUCで4.9%、JavaとPythonベースのデータセットで13.7%上回っている。
  論文  参考訳（メタデータ） (2023-05-23T10:06:28Z)
• What Happens When We Fuzz? Investigating OSS-Fuzz Bug History [0.9772968596463595]
  我々は2022年3月12日までにOSS-Fuzzが公表した44,102件の問題を分析した。 コードを含むバグの発生時期を推定するために,バグ貢献のコミットを特定し,検出から修正までのタイムラインを測定した。
  論文  参考訳（メタデータ） (2023-05-19T05:15:36Z)
• BackdoorBench: A Comprehensive Benchmark of Backdoor Learning [57.932398227755044]
  バックドア学習は、ディープニューラルネットワーク(DNN)の脆弱性を研究する上で、新しく重要なトピックである 多くの先駆的なバックドア攻撃と防衛手法が、素早い武器競争の状況において、連続的または同時に提案されている。 BackdoorBenchというバックドア学習の総合的なベンチマークを構築しています。
  論文  参考訳（メタデータ） (2022-06-25T13:48:04Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。