如何解决 spring-batch-core 4.0.1.RELEASE 中的 CVE?
How to resolve CVEs in spring-batch-core 4.0.1.RELEASE?
我注意到我无法在 spring-batch github 上创建问题并且我无法在 Spring 论坛上创建主题所以我被重定向到这里。
我的 pom.xml 文件中有这个,如 Spring.io's Batch tutorial
中所述
<dependency>
<groupId>org.springframework.batch</groupId>
<artifactId>spring-batch-core</artifactId>
<version>4.0.1.RELEASE</version>
</dependency>
当我 运行 mvn dependency-check:check 我看到这些问题
spring-tx-5.0.0.RELEASE.jar
- CVE-2018-1199 - 将 spring 框架升级到最新的 4.x
spring-batch-core-4.0.1.RELEASE.jar
- CVE-2014-0225 - 升级 spring mvc - 添加它和最新的 4.x
- CVE-2015-5211 - 升级spring框架4.x
- CVE-2016-5007 - 升级spring框架4.x
- CVE-2014-3578 - 升级spring框架4.x
- CVE-2014-3625 - 升级spring框架4.x
I 运行 mvn dependency:build-classpath -Dmdep.outputFile=cp.txt 上面有问题的 jar 位于我的类路径中。然后 运行 'mvn dependency:tree` 但没有看到有问题的罐子。
mvn dependency:tree 2>&1 | egrep -i 'batch-core|spring-tx'
我尝试在谷歌上搜索一些核心 CVE,这些 CVE 表示要升级 spring-mvc,我什至在我的项目中都没有,但我还是明确定义了它。我的 spring 版本设置为最新的 4.x 即使升级到 5.x 仍然会抛出漏洞,因为 spring-batch-core 的最新版本仍然存在漏洞。
我的 pom 文件有问题吗?
首先,none 这些 CVE 直接应用于 Spring 批处理或 spring-batch-core jar 文件。它们都与 Spring Framework 和 Spring MVC 有关。此外,这些 CVE 中的每一个都已在指定的补丁版本中得到缓解。
如果您已确认您的 POM 正在引入正确的、不易受攻击的 Spring Framework 版本,则这是误报的情况,您需要配置任何工具正在使用来解决这个问题。如果您在构建过程中构建的工件包含易受攻击的 Spring Framework 版本(或相关组件),那么您的 POM 确实存在问题。我们可以提供帮助,但我们需要查看 POM 才能这样做。
我注意到我无法在 spring-batch github 上创建问题并且我无法在 Spring 论坛上创建主题所以我被重定向到这里。
我的 pom.xml 文件中有这个,如 Spring.io's Batch tutorial
<dependency>
<groupId>org.springframework.batch</groupId>
<artifactId>spring-batch-core</artifactId>
<version>4.0.1.RELEASE</version>
</dependency>
当我 运行 mvn dependency-check:check 我看到这些问题
spring-tx-5.0.0.RELEASE.jar
- CVE-2018-1199 - 将 spring 框架升级到最新的 4.x
spring-batch-core-4.0.1.RELEASE.jar
- CVE-2014-0225 - 升级 spring mvc - 添加它和最新的 4.x
- CVE-2015-5211 - 升级spring框架4.x
- CVE-2016-5007 - 升级spring框架4.x
- CVE-2014-3578 - 升级spring框架4.x
- CVE-2014-3625 - 升级spring框架4.x
I 运行 mvn dependency:build-classpath -Dmdep.outputFile=cp.txt 上面有问题的 jar 位于我的类路径中。然后 运行 'mvn dependency:tree` 但没有看到有问题的罐子。
mvn dependency:tree 2>&1 | egrep -i 'batch-core|spring-tx'
我尝试在谷歌上搜索一些核心 CVE,这些 CVE 表示要升级 spring-mvc,我什至在我的项目中都没有,但我还是明确定义了它。我的 spring 版本设置为最新的 4.x 即使升级到 5.x 仍然会抛出漏洞,因为 spring-batch-core 的最新版本仍然存在漏洞。
我的 pom 文件有问题吗?
首先,none 这些 CVE 直接应用于 Spring 批处理或 spring-batch-core jar 文件。它们都与 Spring Framework 和 Spring MVC 有关。此外,这些 CVE 中的每一个都已在指定的补丁版本中得到缓解。
如果您已确认您的 POM 正在引入正确的、不易受攻击的 Spring Framework 版本,则这是误报的情况,您需要配置任何工具正在使用来解决这个问题。如果您在构建过程中构建的工件包含易受攻击的 Spring Framework 版本(或相关组件),那么您的 POM 确实存在问题。我们可以提供帮助,但我们需要查看 POM 才能这样做。