为什么受感染的版本不正确?
Why is infected versions incorrect?
我的应用程序代码最近被 JFrog XRay 扫描,结果表明正在使用的 Bouncy Castle BKS 版本 1 密钥库存在高漏洞。我的应用程序使用的版本是 1.61,又名“源版本 = 1.61”。 XRay 报告该库的受感染版本为 <= 1.46 和 >= 1.49,这也是 XRay 发现此问题的原因。这意味着只有 1.46 和 1.49 之间的版本未被感染,其他所有版本都被感染,而 1.61 不在该范围内。那不可能是正确的。 NVD 站点 (https://nvd.nist.gov/vuln/detail/CVE-2018-5382) 指出所有 1.47(不包括)版本都被感染。这意味着正在使用的版本 (1.61) 不是 XRay 所说的受感染列表的一部分。 XRay 的陈述与 NVD 的陈述之间存在直接冲突。
我与XRay漏洞数据库的管理员联系不多。我已经要求他们检查某些事情,但现在有用了。
我希望有人可以帮助我了解问题所在,以便我可以将该信息转发给 XRay 管理员。
我是 JFrog 的 JXRay(XRay 漏洞数据库)维护团队的一员。
查看 NVD 的参考文献,在 US-CERT (https://www.kb.cert.org/vuls/id/306792/) 发布的漏洞说明中,他们写道问题出在“BKS 密钥库格式版本 1 (BKS-V1) ”,1.47 之前的所有版本都支持这种格式,1.49 及以后的版本又恢复了对这种格式的支持。这就是版本 1.49 及更高版本可能受到影响的原因(取决于使用的格式)。
如有其他问题,请随时通过 JFrog 的支持与我们联系。
我的应用程序代码最近被 JFrog XRay 扫描,结果表明正在使用的 Bouncy Castle BKS 版本 1 密钥库存在高漏洞。我的应用程序使用的版本是 1.61,又名“源版本 = 1.61”。 XRay 报告该库的受感染版本为 <= 1.46 和 >= 1.49,这也是 XRay 发现此问题的原因。这意味着只有 1.46 和 1.49 之间的版本未被感染,其他所有版本都被感染,而 1.61 不在该范围内。那不可能是正确的。 NVD 站点 (https://nvd.nist.gov/vuln/detail/CVE-2018-5382) 指出所有 1.47(不包括)版本都被感染。这意味着正在使用的版本 (1.61) 不是 XRay 所说的受感染列表的一部分。 XRay 的陈述与 NVD 的陈述之间存在直接冲突。
我与XRay漏洞数据库的管理员联系不多。我已经要求他们检查某些事情,但现在有用了。
我希望有人可以帮助我了解问题所在,以便我可以将该信息转发给 XRay 管理员。
我是 JFrog 的 JXRay(XRay 漏洞数据库)维护团队的一员。
查看 NVD 的参考文献,在 US-CERT (https://www.kb.cert.org/vuls/id/306792/) 发布的漏洞说明中,他们写道问题出在“BKS 密钥库格式版本 1 (BKS-V1) ”,1.47 之前的所有版本都支持这种格式,1.49 及以后的版本又恢复了对这种格式的支持。这就是版本 1.49 及更高版本可能受到影响的原因(取决于使用的格式)。
如有其他问题,请随时通过 JFrog 的支持与我们联系。