Rub*_*amo 6 c# asp.net security roslyn
我将 WhiteSource Bolt 添加到我的 Azure DevOps 管道中,并注意到在我从版本 2.0 升级 Microsoft.CodeDom.Providers.DotNetCompilerPlatform nuget 包后,它报告了 CVE-2017-0247、CVE-2017-0248、CVE-2017-0249 漏洞。 0 至 2.0.1
该问题是由 bin\roslyn 文件夹中包含旧版本的 System.Net.Http (4.6.24705.1) 引起的。
为了简单起见,我创建了一个新的空 Web 项目,其中仅包含 Microsoft.CodeDom.Providers.DotNetCompilerPlatform nuget 包。我开始使用该包的 2.0.0 版本。使用此包构建时,roslyn 文件夹具有 C# 编译器版本 2.8.2.62916,它不依赖于 System.Net.Http。使用此版本时,此文件夹中的所有文件的修改日期均为 24/05/2018
然后,我将 Microsoft.CodeDom.Providers.DotNetCompilerPlatform nuget 包更新到版本 2.0.1。构建解决方案后,roslyn 文件夹中的 C# 计算机版本为 2.9.0.63208,它依赖于 System.Net.Http。roslyn 文件夹中的文件有 2018 年、2017 年和 2016 年等多种日期。
Whitesource 正在检测旧版本的 System.Net.Http 并对其进行标记,因为它受到上述 CVE 的影响。
我已将代码上传到https://github.com/rubenmamo/CVE-2017-0248-Test
不幸的是,我不太了解 roslyn 在 Asp.Net 项目中的使用方式,并且不确定使用 2.0.1 版本的 Microsoft.CodeDom.Providers.DotNetCompilerPlatform nuget 包是否安全。微软在 2017 年 9 月发布了一个包含此类问题的软件包而不修复它,这看起来很奇怪。
我不确定我错过了什么:|
| 归档时间: |
|
| 查看次数: |
1375 次 |
| 最近记录: |