我怎样才能从项目中解决这个问题?我应该停止使用 H2 数据库吗?
我还发现com.h2database:h2没有任何固定版本。
CVE-2022-45868 7.8 Cleartext Storage of Sensitive Information vulnerability pending CVSS allocation
这不是一个真正的漏洞,目前它被标记为有争议的。
所谓的漏洞利用将密码本身放置在一个可能不安全的地方,然后用这个可能被泄露的(取决于环境)密码启动 H2 服务器进程。该虚假漏洞的作者将密码泄露归咎于 H2,但 H2 并未泄露密码;它由启动 H2 的代码公开。不幸的是,许多项目收到了各种关于虚构漏洞的奇怪报告,有时它们被提升为 CVE。
具有已知真实漏洞的 H2 数据库的最后一个版本可能是 1.4.200。具有已知真实漏洞的 H2 Console 的最新版本是 2.0.206。两个版本都比较旧。
但如果某些代码检查工具将 2.1.214 标记为易受攻击,并且您无法禁用此警告,则可以使用最新的 H2 2.2.220;它不应该被标记为易受攻击。这个版本实际上有一些额外的保护,可以防止尝试使用这些密码做愚蠢的事情。
| 归档时间: |
|
| 查看次数: |
2023 次 |
| 最近记录: |