我正在使用以下执行器依赖项
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
带有弹簧靴2,
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.0.5.RELEASE</version>
</parent>
关于要加强的相关漏洞的任何评论,或者我们有没有理由为要加强的问题获得假阳性。
答案 0 :(得分:0)
我怀疑Fortify提出的问题不是因为spring-boot-starter-actuator
本身,而是因为它对包含deserialization of untrusted data vulnerability的Jackson的传递依赖。但是,要使应用程序容易受到攻击,必须使用非默认值,并且可能很不寻常,这是必须要满足的。您可以在this blog post中从杰克逊的作者那里了解更多有关这些情况的信息。 Spring Boot的Actuator不会启用多态类型处理,因此,如果Fortify警告是由于Jackson引起的,则为误报。
该漏洞已通过阻止某些类进行多态反序列化而在Jackson 2.9.7中fixed。 Spring Boot 2.0.6和2.1.0默认使用Jackson 2.9.7。