关键词:
一、漏洞修复说明
针对sonarqube的漏洞CVE-2020-27986修复方案。
SonarQube 8.4.2.36762 允许远程攻击者通过 api/settings/values URI 发现明文 SMTP、SVN 和 GitLab 凭据。注意:据报道,供应商对 SMTP 和 SVN 的立场是“配置它是管理员的责任”。
该漏洞为2020年10月披露,近期发现较多境外媒体爆料多起源代码泄露事件,涉及我国多个机构和企业的SonarQube代码审计平台。
二、漏洞攻击复现
直接访问可以看到很多未授权的api信息
http://192.168.11.100:9000/api/settings/values
也可以获取接口信息
http://192.168.11.100:9000/api/webservices/list 
三、漏洞修复
该漏洞受影响的版本
SonarQube < 8.6
安全的版本
SonarQube >=8.6
修复方案1:如果sonarqube版本低于8.6,请升级版本
实际我们的环境的sonarqube为9.3,也被扫描出漏洞
考虑是我们sonarqube设置的问题
在sonarqube官网的安全设置页找到答案
https://docs.sonarqube.org/latest/instance-administration/security/
原来是为了方便研发访问,sonarqube关闭了Force user authentication功能
看上面的描述,如果关闭的话,会允许匿名用户访问sonarqube UI或者通过web api获取项目数据。
开启Sonarqube的Force user authentication功能,禁止未授权的用户访问SQ。
sonarqube.service 启动请求重复太快 - Sonarqube
】sonarqube.service启动请求重复太快-Sonarqube【英文标题】:sonarqube.servicestartrequestrepeatedtooquickly-Sonarqube【发布时间】:2021-02-2311:30:11【问题描述】:我是Linux服务器的新手,我设置了一个虚拟机作为我们开发团队的Sonarqube实例。除... 查看详情
25hz相敏轨道电路
125HZ相敏轨道电路总体示意图 225HZ相敏轨道电路的组成 3使用25HZ的原因 查看详情
SonarQube 插件和 SonarQube 规则之间有啥关系?
】SonarQube插件和SonarQube规则之间有啥关系?【英文标题】:What\'ttherelationshipbetweenSonarQubepluginandSonarQuberules?SonarQube插件和SonarQube规则之间有什么关系?【发布时间】:2014-11-2418:53:37【问题描述】:我是SonarQube的新手。我知道有一... 查看详情
代码质量sonarqube原理与实践
...CleanCode|DeveloperFirst|Sonar源代码审计工具之:SonarQube-知乎943-02.SonarQube安装-001219_哔哩哔哩_bilibiliSonarQube-代码静态扫描利器-简书【Jenkins持续集成(一)】SonarQube入门安装使用教程-sonarQube... 查看详情
我如何在 jenkins 上发布 sonarqube 报告?使用 sonarqube portlet
】我如何在jenkins上发布sonarqube报告?使用sonarqubeportlet【英文标题】:howcouldipublishsonarqubereportinjenkins?usingthesonarqubeportlet【发布时间】:2020-11-0323:37:26【问题描述】:我已经为我的一个项目配置了sonarqube,但现在我想在我的jenkins... 查看详情
sonarqube的安装配置与使用
SonarQube的安装、配置与使用SonarQube是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误,下面将会介绍一下这个工具的安装、配置以及使用。准备工作;1、jdk(不再介绍)2、sonarqube:http://www.sonarqube.org/... 查看详情
jenkins+sonarqube代码审查(代码片段)
Jenkins+SonarQube代码审查引言安装PostgreSQL安装SonarQube实现代码审查概述Jenkins安装SonarQubeScanner插件安装SonarQubeScannerJenkins配置SonarServer非流水线项目添加SonarQube代码审查流水线项目添加SonarQube代码审查引言SonarQube是一个用于管理... 查看详情
sonarqube学习入门指南(代码片段)
1.什么是SonarQube?SonarQube官网:https://www.sonarqube.org/SonarQube®是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码异味。它可以与您现有的工作流程集成,以便在项目分支和拉取请求之间进行连续的代码检查。2.使... 查看详情
sonarqube的安装配置与使用
SonarQube是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误,下面将会介绍一下这个工具的安装、配置以及使用。准备工作;1、jdk(不再介绍)2、sonarqube:http://www.sonarqube.org/downloads/3、SonarQube+Scanner:http... 查看详情
SonarQube 漏洞
】SonarQube漏洞【英文标题】:SonarQubeVulnerability【发布时间】:2021-06-0502:52:27【问题描述】:我是使用SonarQube的新手,我正在尝试修复一些漏洞,但不确定如何修复。我还附上了显示sonarQube问题的图片。我的直觉告诉我我需要以... 查看详情
jenkins与sonarqube集成(代码片段)
一、SonarQube我的理解是,SonarQube就是一个对代码进行分析的平台,其功能可以通过插件扩展。支持多种语言,也支持静态代码检查、发现潜在bug等。以下是参考信息:维基百科:https://zh.wikipedia.org/wiki/SonarQube官网:https://www.sonarq... 查看详情
jenkins集成sonarqube8.2(代码片段)
目录准备mkdir-p/home/jenkins_root/sonarQube/sonarqube_data,sonarqube_extensions,sonarqube_logs,confmkdir-p/home/jenkins_root/sonarQube/postgreSQL_data目录说明sonarqube_data–containsdatafiles,suchastheembeddedH2databaseandElasticsearchindexessonarqube_logs–containsSonarQubelogsaboutaccess... 查看详情
SonarQube / AngularJS - 如何让 SonarQube 启动并运行以集成 / 分析我的 Angular 项目?
】SonarQube/AngularJS-如何让SonarQube启动并运行以集成/分析我的Angular项目?【英文标题】:SonarQube/AngularJS-HowtoIgetSonarQubeupandrunningtogetmyAngularprojectintegrated/analyzed?【发布时间】:2018-01-2710:47:37【问题描述】:我有一个前端项目(Angular... 查看详情
sonarqube安装配置与使用01
SonarQube是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误,下面将会介绍一下这个工具的安装、配置以及使用。准备工作;1、jdk(不再介绍)2、sonarqube:http://www.sonarqube.org/downloads/3、SonarQube+Scanner:http... 查看详情
sonarqube的安装配置与使用
SonarQube是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误,下面将会介绍一下这个工具的安装、配置以及使用。准备工作;1、jdk(不再介绍)2、sonarqube:http://www.sonarqube.org/downloads/3、SonarQube+Scanner:http... 查看详情
sonarqube + lombok = 误报
】sonarqube+lombok=误报【英文标题】:sonarqube+lombok=falsepositives【发布时间】:2018-03-0322:18:49【问题描述】:importlombok.Data;@DatapublicclassFilterprivateOperatoroperator;privateObjectvalue;privateStringproperty;privatePropertyTypeproper 查看详情
sonarqube使用
SonarQube是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误,下面将会介绍一下这个工具的安装、配置以及使用。一.安装 1.下载好sonarqube后,解压打开bin目录,启动相应OS目录下的StartSonar。如本... 查看详情
docker--dockerfile--sonarqube
FROMopenjdk:8ENVSONAR_VERSION=6.7.1SONARQUBE_HOME=/opt/sonarqube#Databaseconfiguration#DefaultstousingH2SONARQUBE_JDBC_USERNAME=sonarSONARQUBE_JDBC_PASSWORD=sonarSONARQUBE_JDBC_URL=#HttpportEXPOSE 查看详情