我的 Grails 部署中包含一些适用于 Spring Framework 版本的漏洞。这些也是 Grails(包含 Spring 3.1.4 的 v2.2.5)中的漏洞吗?此处列出的漏洞
适用于例如Spring v 3.0.0 到 3.2.8,其中包括 3.1.4,但 Grails 2.2.5 是 2.2.x 的最新版本。
我如何知道这些 CVE 是否适用于我的 Grails 版本?
最佳答案
Spring、Grails 和 Groovy 团队自 2008 年 SpringSource(遗憾的是不再是一个实体)收购了 G2One 以来一直属于同一家公司,随后 VMware 继续收购 SpringSource,并在其合并后将 SpringSource 解散到 Pivotal。由 EMC 和 VMware 的团队组成。他们密切合作,当然,当出现漏洞时,Spring 团队会通知 Grails 团队。
您链接到的页面中的问题要么不是 Grails 中的问题,要么已经足够旧,以至于任何最新版本的 Grails 都使用已修复该问题的 Spring 版本。具体来说,CVE-2014-1904 涉及 web/servlet/tags/form/FormTag.java,但是虽然 Grails 中支持 JSP 标签,但它们很少使用,因为 GSP 标签和包含要方便得多。 CVE-2014-0054、CVE-2013-7315 和 CVE-2013-4152 与 StAX/OXM/JAXB/XXE 相关 - 一些基于 XML 的首字母缩略词,在 Grails 中没有直接支持,据我所知,没有(或很少(如果有的话)插件支持。 CVE-2013-6429 讨论了 SourceHttpMessageConverter,它似乎没有直接使用,但可能被 RestTemplate 使用,因此也可能被 Rest-client-builder 插件使用。
但如果这些是问题,Grails 团队将收到通知并解决这些问题。这种情况过去发生过几次,例如http://support.springsource.com/security/cve-2012-1833 。 Grails 特定的问题也可以使用相同的机制进行报告,例如http://www.pivotal.io/security/cve-2014-0053
关于spring - Spring框架安全漏洞CVE是否适用于Grails,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27021190/