Grails - Apache Commons Collection уязвимость

Что касается следующей найденной уязвимости в библиотеке Викисклада коллекций,Grails - Apache Commons Collection уязвимость

https://www.kb.cert.org/vuls/id/576313

Я обнаружил, что пострадавшая версия 3.2.1 втягивается в спящий режим (3.6.10.18) в проекте Grails у меня работает 2.5.5. Означает ли это использование библиотеки угрозу для уязвимости. Должен ли я импортировать исправленную версию (3.2.2) в качестве прямой зависимости для смягчения любой вероятности экспозиции?

источник

2017-01-30 dre

Этот уязвимый класс (InvokerTransformer) никогда не использовался в кодовой базе Grails, и я не вижу обстоятельств, когда эта уязвимость может быть использована в приложении Grails.

Тем не менее вы можете, конечно, обновление до 3.2.2 только можно указать зависимость в вашем BuildConfig.groovy или build.gradle файл

источник

2017-01-31 11:32:51

Благодаря @Graeme, кажется, что я могу быть комфортно с этой зависимостью без патча. Я предпочитаю не переопределять зависимости, где это возможно, независимо от того, насколько незначительно это может показаться. – dre

Grails - Apache Commons Collection уязвимость

ответ

Смежные вопросы