Spring 1.5.3中的CVE-2010-1807漏洞(来自android)
Spring 1.5.3中的CVE-2010-1807漏洞(来自android)
提问于 2017-05-15 11:24:03
当运行OWASP依赖项检查时,我将得到以下问题的报告(易受攻击的依赖项)
CWE: CVE-2010-1807
CWE-20 Improper Input Validation
Severity (CVSS): High (9.3)
Dependency: android-json-0.0.20131108.vaadin1.jar我正在使用SpringBoot1.5.3。做gradlew dependencies,我发现android-json确实是Spring的依赖
+--- org.springframework.boot:spring-boot-configuration-processor: -> 1.5.3.RELEASE
| \--- com.vaadin.external.google:android-json:0.0.20131108.vaadin1如何检查这是假阳性还是有效的问题?
编辑:此依赖项不用于运行时。它只用于测试。
回答 2
Stack Overflow用户
回答已采纳
发布于 2017-05-15 16:27:32
如果只在测试中使用依赖项,那么它应该是可以的。测试(几乎从定义上来说)不使用用户输入,并且通常无法在生产环境中运行。因此,测试中的漏洞或测试的依赖项并不是真正需要关注的问题。我会联系Spring开发人员,询问他们为什么有一个潜在的易受攻击的库作为依赖项,或者查看他们的GitHub问题。
Stack Overflow用户
发布于 2017-07-31 21:07:44
这个问题是假阳性的。
正如在CVE中所描述的,该漏洞存在于苹果的WebKit中,该漏洞在2.2之前在安卓系统中使用过:
AppleSafari4.x中的WebKit在4.1.2之前,5.x在5.0.2之前;Android在2.2之前;webkitgtk在1.2.6之前;没有正确地验证浮点数据,这允许远程攻击者通过与非标准NaN表示相关的精心构建的NaN文档执行任意代码或导致拒绝服务(应用程序崩溃)。
OWASP依赖项检查似乎错误地将android-json-0.0.20131108.vaadin1.jar标识为Android的一部分。实际上,jar是org.json:json的一个干净的实现,除了最初由安卓团队开发之外,它与安卓无关。它当然不包含WebKit。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/43978228
复制相关文章
相似问题
腾讯云开发者
