适用于Spring Framework版本的一些漏洞包含在我的Grails部署中 . 这些也是Grails中的漏洞(包含Spring 3.1.4的v2.2.5)吗?此处列出的漏洞
http://www.cvedetails.com/vulnerability-list/vendor_id-9664/product_id-17274/Springsource-Spring-Framework.html
适用于例如Spring v 3.0.0到3.2.8,包括3.1.4,但Grails 2.2.5是2.2.x的最新版本 .
我怎么知道这些CVE是否适用于我的Grails版本?
Spring,Grails和Groovy团队自2008年以来一直是同一家公司的一部分,当时SpringSource(不幸的是不再是实体)购买了G2One,继续购买VMware的SpringSource,以及SpringSource从Pivotal成立时的解散来自EMC和VMware的团队 . 他们紧密合作,当然,当漏洞出现时,Spring团队会通知Grails团队 .
您链接到的页面中的问题要么是Grails中的非问题,要么是足够大,以至于任何最新版本的Grails都使用具有该问题修复的Spring版本 . 具体来说,CVE-2014-1904处理web / servlet / tags / form / FormTag.java,但是虽然Grails支持JSP标记,但它们似乎是直接使用的,但可能由 RestTemplate 使用,因此可能由rest-client-builder插件 .
RestTemplate
但如果这些都是问题,Grails团队将会收到通知,问题将得到解决 . 这在过去发生了几次,例如http://support.springsource.com/security/cve-2012-1833 . 还报告了使用相同机制的Grails特定问题,例如, http://www.pivotal.io/security/cve-2014-0053
1 回答
Spring,Grails和Groovy团队自2008年以来一直是同一家公司的一部分,当时SpringSource(不幸的是不再是实体)购买了G2One,继续购买VMware的SpringSource,以及SpringSource从Pivotal成立时的解散来自EMC和VMware的团队 . 他们紧密合作,当然,当漏洞出现时,Spring团队会通知Grails团队 .
您链接到的页面中的问题要么是Grails中的非问题,要么是足够大,以至于任何最新版本的Grails都使用具有该问题修复的Spring版本 . 具体来说,CVE-2014-1904处理web / servlet / tags / form / FormTag.java,但是虽然Grails支持JSP标记,但它们似乎是直接使用的,但可能由
RestTemplate使用,因此可能由rest-client-builder插件 .但如果这些都是问题,Grails团队将会收到通知,问题将得到解决 . 这在过去发生了几次,例如http://support.springsource.com/security/cve-2012-1833 . 还报告了使用相同机制的Grails特定问题,例如, http://www.pivotal.io/security/cve-2014-0053