CVE-2010至1807年vulnerablity(从Android的JSON)在春季启动1.5.3
问题描述:
当运行OWASP依赖检查我得到报告以下问题(脆弱的依赖)CVE-2010至1807年vulnerablity(从Android的JSON)在春季启动1.5.3
CWE: CVE-2010-1807
CWE-20 Improper Input Validation
Severity (CVSS): High (9.3)
Dependency: android-json-0.0.20131108.vaadin1.jar
我使用Spring 1.5启动。 3。 做gradlew dependencies我看到android-json确实依赖春季启动
+--- org.springframework.boot:spring-boot-configuration-processor: -> 1.5.3.RELEASE
| \--- com.vaadin.external.google:android-json:0.0.20131108.vaadin1
的如何检查,如果这是假阳性或有效的问题?
编辑:此依赖项不在运行时使用。它只用于测试。
答
如果依赖项仅用于测试,那么它应该没问题。几乎根据定义,测试不使用用户输入,并且通常不能在生产环境中运行。因此,测试中的漏洞或测试依赖性中的漏洞并不是真正的问题。我会联系Spring Boot开发人员,询问为什么他们有一个潜在的易受攻击的库作为依赖项,或者看看他们的GitHub issues。
答
这个问题是一个误报。
如CVE,漏洞是在苹果的WebKit这是在使用的Android 2.2之前描述:
的WebKit在Apple Safari 4.x的5.0.2 4.1.2之前和5.x之前; Android 2.2之前的版本;和1.2.6之前的webkitgtk;没有正确验证浮点数据,这允许远程攻击者通过与非标准NaN表示相关的精心制作的HTML文档执行任意代码或导致拒绝服务(应用程序崩溃)。
这看起来OWASP依赖检查是错误地将android-json-0.0.20131108.vaadin1.jar标识为Android的一部分。事实上,这个jar是一个无尘室实现,它与Android无关,除了最初由Android团队开发之外。它当然不包含WebKit。