Spring Boot 1.5.3 中的 CVE-2010-1807 漏洞(来自 android-json)
CVE-2010-1807 vulnerablity (from android-json) in Spring Boot 1.5.3
当 运行 OWASP 依赖项检查时,我收到以下问题报告(易受攻击的依赖项)
CWE: CVE-2010-1807
CWE-20 Improper Input Validation
Severity (CVSS): High (9.3)
Dependency: android-json-0.0.20131108.vaadin1.jar
我正在使用 Spring Boot 1.5.3。
做 gradlew dependencies 我看到 android-json 确实是 Spring Boot
的依赖项
+--- org.springframework.boot:spring-boot-configuration-processor: -> 1.5.3.RELEASE
| \--- com.vaadin.external.google:android-json:0.0.20131108.vaadin1
如何检查这是误报还是有效问题?
编辑:此依赖项未在运行时使用。它仅用于测试。
如果依赖只在测试中使用,那应该没问题。几乎按照定义,测试不使用用户输入,并且通常不能 运行 在生产环境中使用。因此,测试中的漏洞或测试的依赖项中的漏洞并不是真正的问题。我会联系 Spring Boot 开发人员,询问他们为什么有一个潜在易受攻击的库作为依赖项,或者查看他们的 GitHub issues.
该问题是误报。
如 CVE 中所述,该漏洞存在于 2.2 之前的 Android 中使用的 Apple 的 WebKit 中:
WebKit in Apple Safari 4.x before 4.1.2 and 5.x before 5.0.2; Android before 2.2; and webkitgtk before 1.2.6; does not properly validate floating-point data, which allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted HTML document, related to non-standard NaN representation.
OWASP 依赖性检查似乎错误地将 android-json-0.0.20131108.vaadin1.jar 识别为 Android 的一部分。实际上,jar 是 org.json:json 的洁净室实现,除了最初由 Android 团队开发外,与 Android 无关。它肯定不包含 WebKit。
当 运行 OWASP 依赖项检查时,我收到以下问题报告(易受攻击的依赖项)
CWE: CVE-2010-1807
CWE-20 Improper Input Validation
Severity (CVSS): High (9.3)
Dependency: android-json-0.0.20131108.vaadin1.jar
我正在使用 Spring Boot 1.5.3。
做 gradlew dependencies 我看到 android-json 确实是 Spring Boot
+--- org.springframework.boot:spring-boot-configuration-processor: -> 1.5.3.RELEASE
| \--- com.vaadin.external.google:android-json:0.0.20131108.vaadin1
如何检查这是误报还是有效问题?
编辑:此依赖项未在运行时使用。它仅用于测试。
如果依赖只在测试中使用,那应该没问题。几乎按照定义,测试不使用用户输入,并且通常不能 运行 在生产环境中使用。因此,测试中的漏洞或测试的依赖项中的漏洞并不是真正的问题。我会联系 Spring Boot 开发人员,询问他们为什么有一个潜在易受攻击的库作为依赖项,或者查看他们的 GitHub issues.
该问题是误报。
如 CVE 中所述,该漏洞存在于 2.2 之前的 Android 中使用的 Apple 的 WebKit 中:
WebKit in Apple Safari 4.x before 4.1.2 and 5.x before 5.0.2; Android before 2.2; and webkitgtk before 1.2.6; does not properly validate floating-point data, which allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted HTML document, related to non-standard NaN representation.
OWASP 依赖性检查似乎错误地将 android-json-0.0.20131108.vaadin1.jar 识别为 Android 的一部分。实际上,jar 是 org.json:json 的洁净室实现,除了最初由 Android 团队开发外,与 Android 无关。它肯定不包含 WebKit。