我的Grails部署中包含一些适用于Spring Framework版本的漏洞。这些也是Grails(包含Spring 3.1.4的v2.2.5)中的漏洞吗?此处列出的漏洞
适用于例如Spring v 3.0.0至3.2.8,其中包括3.1.4,但Grails 2.2.5是2.2.x的最新版本。
我怎么知道这些CVE是否适用于我的Grails版本?
从2008年开始,Spring,Grails和Groovy团队就成为同一公司的一部分,当时SpringSource(已不再是一个实体)收购了G2One,继续被VMware收购SpringSource,以及在SpringSource成立时将其分解为Pivotal。来自EMC和VMware的组。他们密切合作,当漏洞出现时,Spring团队当然会通知Grails团队。
您链接到的页面中的问题不是Grails中的问题,或者是足够老的以至于任何最新版本的Grails都使用可以解决该问题的Spring版本。具体来说,CVE-2014-1904处理web / servlet / tags / form / FormTag.java,但是虽然Grails支持JSP标签,但由于GSP标签及其包含的内容更加方便,因此很少使用它们。CVE-2014-0054,CVE-2013-7315和CVE-2013-4152与StAX / OXM / JAXB / XXE有关-少数几个基于XML的首字母缩写词在Grails中没有直接支持,据我所知,否(或很少(如果有)插件支持。CVE-2013-6429讨论了SourceHttpMessageConverter,它似乎没有直接使用,但是有RestTemplate可能由rest-client-builder插件使用,因此也有可能被rest-client-builder插件使用。
但是,如果这些是问题,则将通知Grails团队并解决问题。过去已经发生过几次,例如http://support.springsource.com/security/cve-2012-1833。使用相同的机制还报告了特定于Grails的问题,例如http://www.pivotal.io/security/cve-2014-0053
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句