如何处理漏洞CVE-2018-1258,同时使用5和伪客户端(最新版本)?
如何处理漏洞CVE-2018-1258,同时使用5和伪客户端(最新版本)?
提问于 2019-10-09 09:42:26
在我们的项目中,我们使用security版本5.1.5.RELEASE,我希望使用伪客户机(目前我们有Spring )为其他Rest实现客户端。
但是,安全检查显示存在严重的CVE-2018-1258漏洞,这是因为我们使用的security 5版本较低,但这是可用的最新版本之一。
春天的属地现在-
ext.springBootVersion = "2.1.6.RELEASE"
ext.springCloudVersion = "2.1.3.RELEASE"
ext.springSecurityVersion = "5.1.5.RELEASE"
"org.springframework.boot:spring-boot-starter-web:${springBootVersion}",
"org.springframework.boot:spring-boot-starter-actuator:${springBootVersion}",
"org.springframework.boot:spring-boot-starter-security:${springBootVersion}",
"org.springframework.boot:spring-boot-starter-hateoas:${springBootVersion}",
"org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:${springBootVersion}",
"org.springframework.cloud:spring-cloud-starter-openfeign:${springCloudVersion}",
"org.springframework.cloud:spring-cloud-security:${springCloudVersion}"有什么办法解决这个问题吗?还是我必须把假冒伪劣的客户端移除并自己实现呢?
回答 2
Stack Overflow用户
发布于 2019-10-09 09:47:08
理想情况下,这不应该适用于您的情况,如Spring https://pivotal.io/security/cve-2018-1258所示,
缓减
- 用户利用SpringFramework5.x应该避免使用SpringFramework5.0.5.RELEASE。 或者Spring 2.0.2.RELEASE+临时引入了Spring 5.0.6.RELEASE+。但是,用户应该确信其他依赖管理机制也被更新为使用SpringFramework5.0.6.RELEASE或更新版本。
- 使用SpringFramework4.x(SpringSecurity4.x或SpringBoot1.x)的用户不会受到影响,因此不需要采取任何步骤。
- 不需要采取其他缓解措施。
Stack Overflow用户
发布于 2020-05-22 14:31:27
与Feign Client无关,但与CVE-2018-1258假阳性有关。
--这只是在使用gradle dependencyCheck插件时使用的。有一个https://github.com/jeremylong/DependencyCheck/issues/2558.
目前最新的"Spring (2.3.0)“使用了”SpringSecurity5.3.2“,显示了假阳性:
spring-security-oauth2-resource-server-5.3.2.RELEASE.jar (pkg:maven/org.springframework.security/spring-security-oauth2-resource-server@5.3.2.RELEASE, cpe:2.3:a:pivotal:spring_security_oauth:5.3.2:*:*:*:*:*:*:*, cpe:2.3:a:pivotal_software:spring_security:5.3.2:*:*:*:*:*:*:*, cpe:2.3:a:pivotal_software:spring_security_oauth:5.3.2:*:*:*:*:*:*:*) : CVE-2018-1258
spring-security-oauth2-jose-5.3.2.RELEASE.jar (pkg:maven/org.springframework.security/spring-security-oauth2-jose@5.3.2.RELEASE, cpe:2.3:a:pivotal:spring_security_oauth:5.3.2:*:*:*:*:*:*:*, cpe:2.3:a:pivotal_software:spring_security:5.3.2:*:*:*:*:*:*:*, cpe:2.3:a:pivotal_software:spring_security_oauth:5.3.2:*:*:*:*:*:*:*) : CVE-2018-1258
spring-security-web-5.3.2.RELEASE.jar (pkg:maven/org.springframework.security/spring-security-web@5.3.2.RELEASE, cpe:2.3:a:pivotal_software:spring_security:5.3.2:*:*:*:*:*:*:*) : CVE-2018-1258
spring-security-oauth2-core-5.3.2.RELEASE.jar (pkg:maven/org.springframework.security/spring-security-oauth2-core@5.3.2.RELEASE, cpe:2.3:a:pivotal:spring_security_oauth:5.3.2:*:*:*:*:*:*:*, cpe:2.3:a:pivotal_software:spring_security:5.3.2:*:*:*:*:*:*:*, cpe:2.3:a:pivotal_software:spring_security_oauth:5.3.2:*:*:*:*:*:*:*) : CVE-2018-1258
spring-security-config-5.3.2.RELEASE.jar (pkg:maven/org.springframework.security/spring-security-config@5.3.2.RELEASE, cpe:2.3:a:pivotal_software:spring_security:5.3.2:*:*:*:*:*:*:*) : CVE-2018-1258
spring-security-core-5.3.2.RELEASE.jar (pkg:maven/org.springframework.security/spring-security-core@5.3.2.RELEASE, cpe:2.3:a:pivotal_software:spring_security:5.3.2:*:*:*:*:*:*:*) : CVE-2018-1258
spring-security-crypto-5.3.2.RELEASE.jar (pkg:maven/org.springframework.security/spring-security-crypto@5.3.2.RELEASE, cpe:2.3:a:pivotal_software:spring_security:5.3.2:*:*:*:*:*:*:*) : CVE-2018-1258该漏洞声明它仅与5.0.5相关。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/58301315
复制相关文章
相似问题
腾讯云开发者
