Spring 存在安全漏洞的云嵌入式netty服务器
Spring Cloud embedded netty server with security vulnerabilities
我正在使用 spring-cloud-dependencies:2020.0.4 中的 spring-cloud-starter-gateway 和 spring-boot-starter-webflux,将所有内容打包到 docker 图像中。
我所有的路线都是用 RouteLocatorBuilder 从 spring 云端写的。
使用Grype扫描图像,我发现了以下漏洞:
最新的 reactor-netty-http:1.0.13 仍然没有修复这些问题。
我想解决这些问题。有什么建议吗?
[更新]
已写信给 Grype's Github 以进行进一步调查。正如安德烈亚斯在下面提到的那样,这些似乎确实是误报。现在在我的 BOM 中执行最新的 netty。
我想这些是误报,因为 reactor-netty-http 没有像 HttpObjectDecoder.java in Netty before 4.1.44 这样的漏洞。 https://nvd.nist.gov/vuln/detail/CVE-2019-20444 提供的正则表达式有时太不明确。
根据文档,您可以按照本指南抑制误报:https://github.com/anchore/grype#specifying-matches-to-ignore
如果您正在使用 maven,您可以添加(但您不必添加,因为这些是误报):
<project>
...
<dependencyManagement>
<dependencies>
<dependency>
<groupId>io.netty</groupId>
<artifactId>netty-bom</artifactId>
<version>4.1.70.Final</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
...
</project>
修复在 reactor-netty-http:1.0.13 中,因为 netty 4.1.70 没有任何众所周知的安全漏洞:
我正在使用 spring-cloud-dependencies:2020.0.4 中的 spring-cloud-starter-gateway 和 spring-boot-starter-webflux,将所有内容打包到 docker 图像中。
我所有的路线都是用 RouteLocatorBuilder 从 spring 云端写的。
使用Grype扫描图像,我发现了以下漏洞:
最新的 reactor-netty-http:1.0.13 仍然没有修复这些问题。
我想解决这些问题。有什么建议吗?
[更新]
已写信给 Grype's Github 以进行进一步调查。正如安德烈亚斯在下面提到的那样,这些似乎确实是误报。现在在我的 BOM 中执行最新的 netty。
我想这些是误报,因为 reactor-netty-http 没有像 HttpObjectDecoder.java in Netty before 4.1.44 这样的漏洞。 https://nvd.nist.gov/vuln/detail/CVE-2019-20444 提供的正则表达式有时太不明确。
根据文档,您可以按照本指南抑制误报:https://github.com/anchore/grype#specifying-matches-to-ignore
如果您正在使用 maven,您可以添加(但您不必添加,因为这些是误报):
<project>
...
<dependencyManagement>
<dependencies>
<dependency>
<groupId>io.netty</groupId>
<artifactId>netty-bom</artifactId>
<version>4.1.70.Final</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
...
</project>
修复在 reactor-netty-http:1.0.13 中,因为 netty 4.1.70 没有任何众所周知的安全漏洞: