我注意到我无法在spring-batch github上创建一个问题,我无法在Spring论坛上创建一个主题,所以我被重定向到这里 .
我在 pom.xml
文件中有这个,如Spring.io's Batch tutorial所述
<dependency>
<groupId>org.springframework.batch</groupId>
<artifactId>spring-batch-core</artifactId>
<version>4.0.1.RELEASE</version>
</dependency>
当我运行 mvn dependency-check:check
时,我看到了这些问题
spring-tx-5.0.0.RELEASE.jar
- CVE-2018-1199 - 将spring框架升级到最新的4.x.
spring-batch-core-4.0.1.RELEASE.jar
-
CVE-2014-0225 - 升级spring mvc - 添加它和最新的4.x.
-
CVE-2015-5211 - 升级springframework 4.x.
-
CVE-2016-5007 - 升级springframework 4.x.
-
CVE-2014-3578 - 升级springframework 4.x.
-
CVE-2014-3625 - 升级springframework 4.x.
我跑了 mvn dependency:build-classpath -Dmdep.outputFile=cp.txt
上面的有问题的 jar 都在我的类路径中 . 然后运行'mvn dependency:tree`但没看到有问题的 jar .
mvn dependency:tree 2>&1 | egrep -i 'batch-core|spring-tx'
我试着用谷歌搜索一些核心CVE,它们说要升级spring-mvc,我在项目中甚至都没有,但我还是明确定义了它 . 我的 Spring 季版本设置为最新的4.x甚至升级到5.x仍然会引发漏洞,因为spring-batch-core的最新版本仍然容易受到攻击 .
我在我的pom文件中做错了吗?
1 回答
首先,这些CVE都不直接应用于Spring Batch或
spring-batch-core
jar文件 . 它们都与Spring Framework和Spring MVC相关 . 此外,这些CVE中的每一个都已在指定的修补程序版本中得到缓解 .如果您已经确认您的POM引入了正确的,不可浏览的Spring Framework版本,那么这是一个误报的情况,您需要配置您正在使用的任何工具来解决此问题 . 如果由于构建过程而构建的工件包含易受攻击的Spring Framework版本(或相关组件),那么您的POM确实存在问题 . 我们可以提供帮助,但我们需要看到POM才能这样做 .