我的应用程序代码最近被 JFrog XRay 扫描,结果表明 Bouncy Castle BKS 版本 1 密钥库的使用版本存在高漏洞。我的应用程序使用的版本是 1.61 版,也就是“源版本 = 1.61”。XRay 报告称,该库的受感染版本 <= 1.46 和 >= 1.49,这也是 XRay 捕获此问题的原因。这意味着只有 1.46 和 1.49 之间的版本没有被感染,其他所有版本都被感染,而 1.61 不在该范围内。那不可能是正确的。NVD 站点 ( https://nvd.nist.gov/vuln/detail/CVE-2018-5382) 表示 1.47(不包括)之前的所有版本都被感染。这意味着使用中的版本 (1.61) 不是 XRay 所说的受感染列表的一部分。XRay 陈述的内容与 NVD 陈述的内容之间存在直接冲突。
我和XRay漏洞数据库的管理员联系很少。我已经要求他们检查某些事情,但现在有用。
我希望有人可以帮助我了解问题可能是什么,以便我可以将该信息转发给 XRay 管理员。
我是 JFrog 的 JXRay(XRay 漏洞数据库)维护团队的一员。
查看NVD的参考资料,在US-CERT发布的漏洞说明(https://www.kb.cert.org/vuls/id/306792/)中,他们写道问题出在“BKS密钥库格式版本1 (BKS-V1)”,1.47 之前的所有版本都支持这种格式,并且在 1.49 及以后的版本中恢复了对这种格式的支持。这就是 1.49 及更高版本可能受到影响的原因(取决于使用的格式)。
请随时通过 JFrog 的支持与我们联系以获取更多问题。
| 归档时间: |
|
| 查看次数: |
272 次 |
| 最近记录: |