Как разрешить CVE в Spring-Batch-Core 4.0.1.RELEASE?
Я заметил, что не могу создать проблему на github-пакете spring, и мне не удалось создать тему на форуме Spring, поэтому меня перенаправили сюда.
У меня есть это в моем файле pom.xml, как описано на Руководство Spring.io Batch
<dependency>
<groupId>org.springframework.batch</groupId>
<artifactId>spring-batch-core</artifactId>
<version>4.0.1.RELEASE</version>
</dependency>
И когда я запускаю mvn dependency-check:check, я вижу эти проблемы
весна-tx-5.0.0.RELEASE.jar
- CVE-2018-1199 - обновить Spring framework до последней версии 4.x
весна-пакет-ядро-4.0.1.RELEASE.jar
- CVE-2014-0225 - обновить Spring mvc - добавил его и последнюю версию 4.x
- CVE-2015-5211 - обновить springframework 4.x
- CVE-2016-5007 - обновить springframework 4.x
- CVE-2014-3578 - обновить springframework 4.x
- CVE-2014-3625 - обновить springframework 4.x
Я запустил mvn dependency:build-classpath -Dmdep.outputFile=cp.txt, оскорбительные банки, указанные выше, находятся в моем пути к классам. Затем запустил mvn dependency: tree, но не увидел проблемных jar-файлов.
mvn dependency:tree 2>&1 | egrep -i 'batch-core|spring-tx'
Я попытался найти в Google некоторые из основных CVE, в которых говорилось об обновлении spring -mvc, которого у меня даже нет в моем проекте, но я все равно явно определил его. Моя весенняя версия установлена на последнюю версию 4.x, и даже обновление до 5.x по-прежнему вызывает уязвимость, потому что последняя версия spring-batch-core все еще уязвима.
Я что-то делаю не так в моем файле pom?
Ответы 1
Начнем с того, что ни один из этих CVE не применяется напрямую к Spring Batch или jar-файлу spring-batch-core. Все они связаны с Spring Framework и Spring MVC. Кроме того, каждая из этих CVE была смягчена в указанных версиях исправлений.
Если вы подтвердили, что ваш POM предоставляет правильную, не поддерживающую поддержку, версию Spring Framework, это случай ложного срабатывания, и вам необходимо настроить любой инструмент, который вы используете для решения этой проблемы. Если артефакт, который вы создаете в результате процесса сборки, включает уязвимую версию Spring Framework (или связанных компонентов), то у вас действительно есть проблема с вашим POM. Мы можем помочь, но для этого нам нужно увидеть POM.
Если я удалю spring-batch-core, то mvn dependency-check не будет жаловаться. Мне не удалось найти в Интернете каких-либо ресурсов, упоминающих вышеупомянутые CVE с рассматриваемой зависимостью, поэтому я нашел это тревожным, особенно потому, что я не использую spring-mvc. Я использую некоторые пакеты Spring framework. Как можно быть настолько уверенным, что эти ложные срабатывания?
Если затронутые jar-файлы не находятся в пути к классам, они являются ложными. Но это то, что я специально прошу вас проверить.
Спасибо, что помогли мне с этим справиться. Я вывел свой путь к классам и включил команду в сообщение выше. 2 оскорбительных jar-файла, содержащих CVE, находятся в моем пути к классам.
@SomeGuyOnAComputer Используйте mvn dependency:tree, чтобы увидеть, как JAR-файлы включены в ваш проект.
@dur интересно. Он не показал spring-tx или spring-batch-core. Достаточно ли этого доказательства, чтобы подавить предупреждения?
@SomeGuyOnAComputer Если у вас есть зависимость spring-batch-core в вашем POM, вы также должны увидеть эту зависимость в своем дереве зависимостей.
Вы должны показать свою часть зависимостей вашего
pom.xml. Вы написали Моя весенняя версия установлена на последнюю версию 4.x, что означает, что вы не используете транзитивные зависимостиspring-batch-core.