spring-boot-starter-data-cassandra-reactive 依赖于 CVE-2020-13946 native-protocol-1.5。0.jar
spring-boot-starter-data-cassandra-reactive depends on CVE-2020-13946 native-protocol-1.5.0.jar
请问一个关于 SpringBoot 项目的小问题。
目前使用版本 2。6.x,我正在开发一个非常小的 Web 应用程序,用于在 Cassandra 中存储数据。
不幸的是,从依赖树看来,它携带了一个易受攻击的依赖:
native-protocol-1.5.0.jar (pkg:maven/com.datastax.oss/native-protocol@1.5.0, cpe:2.3:a:apache:cassandra :1.5.0:::::::*) : CVE-2020-13946
许多静态分析扫描进一步证实了这一点,例如 SonarQube、Black Duck、OWASP 依赖关系等...
这似乎是由于 Datastax 团队的依赖。
但是,没有 public 回购来提出 PR 或问题。
请问我应该怎么做才能修复这个漏洞?
谢谢
我认为 native-protocol 1.5.0 被错误地认为是 Apache Cassandra 1.5 的一部分,这对我来说像是误报。
如果你想从维护者那里得到一些保证,native-protocol is on GitHub as is Datastax's Java Driver for Cassandra which depends upon native-protocol。
CVE-2020-13946 与 Spring 框架或本机协议 JAR 无关,因为该漏洞仅在以下两个条件都成立时才存在:
- 你是 运行 旧版本的 Cassandra。
- JMX 端口公开给 public 访问。
该漏洞是从 2020 年开始的,如果您查看 Mitre or NVD 等网站上的详细信息,您会发现该漏洞仅适用于:
... all versions prior to 2.1.22, 2.2.18, 3.0.22, 3.11.8 and 4.0-beta2 ...
受支持的 Cassandra 版本中不存在此漏洞。干杯!
请问一个关于 SpringBoot 项目的小问题。
目前使用版本 2。6.x,我正在开发一个非常小的 Web 应用程序,用于在 Cassandra 中存储数据。
不幸的是,从依赖树看来,它携带了一个易受攻击的依赖:
native-protocol-1.5.0.jar (pkg:maven/com.datastax.oss/native-protocol@1.5.0, cpe:2.3:a:apache:cassandra :1.5.0:::::::*) : CVE-2020-13946
许多静态分析扫描进一步证实了这一点,例如 SonarQube、Black Duck、OWASP 依赖关系等...
这似乎是由于 Datastax 团队的依赖。
但是,没有 public 回购来提出 PR 或问题。
请问我应该怎么做才能修复这个漏洞?
谢谢
我认为 native-protocol 1.5.0 被错误地认为是 Apache Cassandra 1.5 的一部分,这对我来说像是误报。
如果你想从维护者那里得到一些保证,native-protocol is on GitHub as is Datastax's Java Driver for Cassandra which depends upon native-protocol。
CVE-2020-13946 与 Spring 框架或本机协议 JAR 无关,因为该漏洞仅在以下两个条件都成立时才存在:
- 你是 运行 旧版本的 Cassandra。
- JMX 端口公开给 public 访问。
该漏洞是从 2020 年开始的,如果您查看 Mitre or NVD 等网站上的详细信息,您会发现该漏洞仅适用于:
... all versions prior to 2.1.22, 2.2.18, 3.0.22, 3.11.8 and 4.0-beta2 ...
受支持的 Cassandra 版本中不存在此漏洞。干杯!