Používame nižšie zoznam Spring Jarsúbory v aplikácii a nepoužívame webové aplikácie Spring ani žiadnu inú formu závislostí websocket v aplikácii a žiadny kódový odkaz na povolenie podpory STOMP.
Mohol by niekto potvrdiť, či sme ešte stále zraniteľní voči CVE-2018-1270?
spring-security-web-4.2.3.RELEASE.jar
spring-security-core-4.2.3.RELEASE.jar
spring-security-config-4.2.3.RELEASE.jar
spring-aspects-4.3.12.RELEASE.jar
spring-web-4.3.12.RELEASE.jar
spring-tx-4.3.12.RELEASE.jar
spring-orm-4.3.12.RELEASE.jar
spring-jdbc-4.3.12.RELEASE.jar
spring-expression-4.3.12.RELEASE.jar
spring-core-4.3.12.RELEASE.jar
spring-context-support-4.3.12.RELEASE.jar
spring-context-4.3.12.RELEASE.jar
spring-beans-4.3.12.RELEASE.jar
spring-jms-4.3.12.RELEASE.jar
spring-messaging-4.3.12.RELEASE.jar
spring-aop-4.3.12.RELEASE.jar
odpovede:
0 pre odpoveď č. 1Všetky verzie vetvu 4.3 (do 4.3.15) sú ovplyvnené, mali by ste aktualizovať na 4.3.16 podľa odporúčania. Ďalšie informácie nájdete tu: https://pivotal.io/security/cve-2018-1270
To sa týka vás iba vtedy, ak používate STOMP cez WebSockets, inak vás to neovplyvní.