Я добавил WhiteSource Bolt в свой конвейер Azure DevOps и заметил, что он сообщает об уязвимостях CVE-2017-0247, CVE-2017-0248, CVE-2017-0249 после того, как я обновил пакет nuget Microsoft.CodeDom.Providers.DotNetCompilerPlatform изверсии 2.0.0 до 2.0.1
Проблема вызвана старой версией System.Net.Http (4.6.24705.1), включенной в папку bin \ roslyn.
КомуПроще говоря, я создал новый пустой веб-проект, в котором просто есть пакет nuget Microsoft.CodeDom.Providers.DotNetCompilerPlatform.Я начал использовать версию 2.0.0 пакета.При сборке с использованием этого пакета папка roslyn имеет версию 2.8.2.62916 компилятора C #, которая не зависит от System.Net.Http.При использовании этой версии все файлы в этой папке имеют дату изменения 24/05/2018
. Затем я обновил пакет nuget Microsoft.CodeDom.Providers.DotNetCompilerPlatform до версии 2.0.1.После построения решения папка roslyn имела версию 2.9.0.63208 компилятора C #, которая зависит от System.Net.Http.Файлы в папке roslyn имеют различные даты: 2018, 2017 и 2016.
Whitesource обнаруживает старую версию System.Net.Http и помечает ее, так как она выполняется вышеупомянутыми CVE.
Я загрузил свой код в https://github.com/rubenmamo/CVE-2017-0248-Test
К сожалению, я не очень понимаю, как roslyn используется в проектах Asp.Net, и не уверен, безопасно ли его использоватьверсия 2.0.1 пакета Nuget Microsoft.CodeDom.Providers.DotNetCompilerPlatform.Выглядит странно, что Microsoft выпустила пакет в сентябре 2017 года с такой проблемой, не решая ее.
Я не уверен, что что-то упустил: |