論文の概要: Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub
- arxiv url: http://arxiv.org/abs/2505.20186v1
- Date: Mon, 26 May 2025 16:29:21 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-27 19:27:26.940559
- Title: Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub
- Title(参考訳): Unseenの根絶 - GitHub全体でのパストラバーサル脆弱性の検出、エクスプロイト、リメディア
- Authors: Jafar Akhoundali, Hamidreza Hamidi, Kristian Rietveld, Olga Gadyatskaya,
- Abstract要約: オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。
1,756の脆弱性のあるオープンソースプロジェクトを特定しました。
当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再報告されている。
- 参考スコア(独自算出の注目度): 1.2124551005857036
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Vulnerabilities in open-source software can cause cascading effects in the modern digital ecosystem. It is especially worrying if these vulnerabilities repeat across many projects, as once the adversaries find one of them, they can scale up the attack very easily. Unfortunately, since developers frequently reuse code from their own or external code resources, some nearly identical vulnerabilities exist across many open-source projects. We conducted a study to examine the prevalence of a particular vulnerable code pattern that enables path traversal attacks (CWE-22) across open-source GitHub projects. To handle this study at the GitHub scale, we developed an automated pipeline that scans GitHub for the targeted vulnerable pattern, confirms the vulnerability by first running a static analysis and then exploiting the vulnerability in the context of the studied project, assesses its impact by calculating the CVSS score, generates a patch using GPT-4, and reports the vulnerability to the maintainers. Using our pipeline, we identified 1,756 vulnerable open-source projects, some of which are very influential. For many of the affected projects, the vulnerability is critical (CVSS score higher than 9.0), as it can be exploited remotely without any privileges and critically impact the confidentiality and availability of the system. We have responsibly disclosed the vulnerability to the maintainers, and 14\% of the reported vulnerabilities have been remediated. We also investigated the root causes of the vulnerable code pattern and assessed the side effects of the large number of copies of this vulnerable pattern that seem to have poisoned several popular LLMs. Our study highlights the urgent need to help secure the open-source ecosystem by leveraging scalable automated vulnerability management solutions and raising awareness among developers.
- Abstract(参考訳): オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。
これらの脆弱性が多くのプロジェクトにわたって繰り返されたとしても、敵がそのうちの1つを見つければ、攻撃を非常に簡単にスケールアップできるのでは、特に心配です。
残念なことに、開発者は自身のコードリソースや外部のコードリソースからコードを頻繁に再利用するため、多くのオープンソースプロジェクトにほぼ同じ脆弱性が存在する。
我々は、オープンソースGitHubプロジェクト間のパストラバースアタック(CWE-22)を可能にする、特定の脆弱性のあるコードパターンの出現状況について調査した。
この研究をGitHubスケールで処理するために、ターゲットとする脆弱性パターンをGitHubをスキャンし、まず静的解析を実行して脆弱性を確認し、研究プロジェクトのコンテキストで脆弱性を悪用し、CVSSスコアを計算して影響を評価し、GPT-4を使用してパッチを生成し、メンテナに脆弱性を報告する自動パイプラインを開発しました。
パイプラインを使って1,756の脆弱性のあるオープンソースプロジェクトを特定しました。
多くの影響を受けるプロジェクトでは、脆弱性は重要であり(CVSSスコアは9.0以上)、特権なしで遠隔で悪用でき、システムの機密性や可用性に重大な影響を及ぼす可能性がある。
当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再通信されている。
また、脆弱なコードパターンの根本原因について検討し、この脆弱性パターンの多くのコピーによる副作用を評価した。
私たちの研究は、スケーラブルな自動化された脆弱性管理ソリューションを活用し、開発者間の認識を高めることによって、オープンソースエコシステムの確保を支援する緊急の必要性を強調しています。
関連論文リスト
- The Ripple Effect of Vulnerabilities in Maven Central: Prevalence, Propagation, and Mitigation Challenges [8.955037553566774]
私たちはCommon Vulnerabilities and Exposuresデータを用いてMaven Centralエコシステム内の脆弱性の頻度と影響を分析します。
約400万リリースのサブサンプルでは、リリースの約1%に直接的な脆弱性があることが分かりました。
また、脆弱性のパッチに要する時間、特に重大または重大の脆弱性は、数年かかることが多いこともわかりました。
論文 参考訳(メタデータ) (2025-04-05T13:45:27Z) - Investigating Vulnerability Disclosures in Open-Source Software Using Bug Bounty Reports and Security Advisories [6.814841205623832]
私たちは,GitHubのセキュリティアドバイザリ3,798件と,OSSバグ報奨金レポート4,033件について,実証的研究を行った。
OSSの脆弱性がセキュリティアドバイザリやバグ報奨金報告からどのように伝播するかを説明する明示的なプロセスは、私たちが最初に決定します。
論文 参考訳(メタデータ) (2025-01-29T16:36:41Z) - Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features [6.814841205623832]
本稿では,OSSメンテナの脆弱性管理とプラットフォームセキュリティ機能について考察する。
サプライチェーンの不信や、脆弱性管理の自動化の欠如が、最も困難であることに気付きました。
プラットフォームのセキュリティ機能を採用する上での障壁は、認識の欠如と、それらが必要ないという認識の欠如である。
論文 参考訳(メタデータ) (2024-09-12T00:15:03Z) - On Security Weaknesses and Vulnerabilities in Deep Learning Systems [32.14068820256729]
具体的には、ディープラーニング(DL)フレームワークについて検討し、DLシステムにおける脆弱性に関する最初の体系的な研究を行う。
各種データベースの脆弱性パターンを探索する2ストリームデータ分析フレームワークを提案する。
我々は,脆弱性のパターンと修正の課題をよりよく理解するために,3,049個のDL脆弱性を大規模に検討した。
論文 参考訳(メタデータ) (2024-06-12T23:04:13Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。