适用于Spring Framework版本的一些漏洞包含在我的Grails部署中。这些也是Grails中的漏洞(包含Spring 3.1.4的v2.2.5)吗?这里列出的漏洞
适用于例如Spring v 3.0.0到3.2.8,包括3.1.4,但Grails 2.2.5是2.2.x的最新版本。
我如何知道这些CVE是否适用于我的Grails版本?
答案 0 :(得分:2)
Spring,Grails和Groovy团队自2008年以来一直是同一家公司的一部分,当时SpringSource(遗憾地不再是一个实体)购买了G2One,继续购买VMware的SpringSource,以及SpringSource在Pivotal的解散由EMC和VMware的团队组成。他们密切合作,当然,当漏洞出现时,Spring团队会通知Grails团队。
您链接到的页面中的问题要么是Grails中的非问题,要么是足够大,以至于任何最新版本的Grails都使用具有此问题修复程序的Spring版本。具体来说,CVE-2014-1904处理web / servlet / tags / form / FormTag.java,但是虽然Grails支持JSP标记,但由于GSP标记和包含非常方便,因此很少使用它们。 CVE-2014-0054,CVE-2013-7315和CVE-2013-4152涉及StAX / OXM / JAXB / XXE - 一些基于XML的缩写,在Grails中没有直接支持,据我所知没有(或如果有的话,插件支持很少。 CVE-2013-6429讨论了SourceHttpMessageConverter,它似乎没有直接使用,但可能由RestTemplate使用,因此可能由rest-client-builder插件使用。
但如果这些都是问题,Grails团队会收到通知,问题将得到解决。这在过去已经发生过几次,例如http://support.springsource.com/security/cve-2012-1833。还报告了使用相同机制的Grails特定问题,例如, http://www.pivotal.io/security/cve-2014-0053