CVE-2020-27986(Sonarqube敏感信息泄漏) 漏洞修复

一、漏洞修复说明

针对sonarqube的漏洞CVE-2020-27986修复方案。

SonarQube 8.4.2.36762 允许远程攻击者通过 api/settings/values URI 发现明文 SMTP、SVN 和 GitLab 凭据。注意：据报道，供应商对 SMTP 和 SVN 的立场是“配置它是管理员的责任”。

该漏洞为2020年10月披露，近期发现较多境外媒体爆料多起源代码泄露事件，涉及我国多个机构和企业的SonarQube代码审计平台。

二、漏洞攻击复现

直接访问可以看到很多未授权的api信息

http://192.168.11.100:9000/api/settings/values

也可以获取接口信息

http://192.168.11.100:9000/api/webservices/list

 三、漏洞修复

该漏洞受影响的版本

SonarQube < 8.6

安全的版本

SonarQube >=8.6

修复方案1：如果sonarqube版本低于8.6，请升级版本

实际我们的环境的sonarqube为9.3，也被扫描出漏洞

考虑是我们sonarqube设置的问题

在sonarqube官网的安全设置页找到答案

https://docs.sonarqube.org/latest/instance-administration/security/

原来是为了方便研发访问，sonarqube关闭了Force user authentication功能

 看上面的描述，如果关闭的话，会允许匿名用户访问sonarqube UI或者通过web api获取项目数据。

开启Sonarqube的Force user authentication功能，禁止未授权的用户访问SQ。