我的应用程序代码最近受到JFrog XRay的扫描,并且产生的结果表明,使用中的Bouncy Castle BKS版本1密钥库存在高度漏洞。我的应用程序使用的版本是1.61版,也就是“源版本= 1.61”。 XRay报告该库的受感染版本为<= 1.46和> = 1.49,这是XRay捕获此漏洞的原因。这意味着仅1.46和1.49之间的版本不会被感染,其他所有内容都将被感染,而1.61不在该范围内。那是不正确的。 NVD站点(https://nvd.nist.gov/vuln/detail/CVE-2018-5382)指出,所有版本最高为1.47(不包括)。意味着正在使用的版本(1.61)并不像XRay所说的那样是受感染列表的一部分。 XRay声明与NVD声明之间存在直接冲突。
我与XRay漏洞数据库的管理员联系很少。我已经要求他们检查某些事情,但现在还是有用。
我希望有人可以帮助我理解问题所在,以便将信息转发给XRay管理员。
答案 0 :(得分:4)
我是JFrog的JXRay(XRay漏洞数据库)维护团队的成员。
在查看来自NVD的引用时,在US-CERT(https://www.kb.cert.org/vuls/id/306792/)发布的漏洞注释中,他们写道问题出在“ BKS密钥库格式版本1(BKS-V1)”和此格式下1.47之前的所有版本均支持该功能,并且此格式的支持已在1.49及更高版本中恢复。因此,可能会影响1.49版及更高版本(取决于所使用的格式)。
请随时通过JFrog的支持与我们联系以获取进一步的问题。