org.hyperledger.fabric-sdk-java: fabric-sdk-java: 1.4.4 использует jar-файлы netty, что приводит к уязвимостям безопасности в нашем модуле проекта maven.Как это исправить?
Я использую fabric-sdk-java в моем модуле проекта maven.Получение проблем с уязвимостями безопасности (https://commons.apache.org/proper/commons-compress/security-reports.html) в commons-compress (CVE-2019-12402) при выполнении анализа IQ / CLM сонатипа.У commons-compress 1.19 есть исправление безопасности.В дополнение к этому, netty имеет и другие уязвимости безопасности (CVE-2019-9512, CVE-2019-9514, CVE-2019-9515, CVE-2019-9518).Уязвимости показаны ниже.
Sonatype CLM сообщает о сбое политики из-за политики [ERROR] (высокий уровень безопасности) [[ERROR] Компонент (displayName = org.hyperledger.fabric-sdk-java: fabric-sdk-java: jar: jar-with-dependencies: 1.4.4, hash = d0167d0fxxxxxbf88d2c) [[ERROR] Ограничение (высокий балл CVSS) [Уязвимость безопасности> = 7, потому что: обнаружена уязвимость безопасности CVE-2019-12402 с серьезностью 7.5.,при условии 0, серьезность уязвимости безопасности <10, потому что: обнаружена уязвимость безопасности CVE-2019-12402 с серьезностью 7.5., при условии 0, состояние уязвимости безопасности не NOT_APPLICABLE, потому что: обнаружена уязвимость безопасности CVE-2019-12402 со статусом «открыто»,не 'Не применимо'., при условии 0]]] [ОШИБКА] Sonatype CLM сообщает о сбое политики из-за политики [ОШИБКА] (Высокий уровень безопасности) [[ОШИБКА] Компонент (displayName = io.netty: netty-codec-http2:4.1.30.Final, hash = 2da92f5xxxxx904954d3) [[ОШИБКА] Ограничение (высокий балл CVSS) [Уровень уязвимости безопасности> = 7 из-заse: обнаружена уязвимость безопасности CVE-2019-9512 с серьезностью 7.5., при условии 0, серьезность уязвимости безопасности <10, поскольку: обнаружена уязвимость безопасности CVE-2019-9512 с серьезностью 7.5., при условии 0, состояние уязвимости безопасности не NOT_APPLICABLE, поскольку: Обнаружена уязвимость безопасности CVE-2019-9512 со статусом «Открыто», а не «Не применимо»., При условии 0]]] [ОШИБКА] Sonatype CLM сообщает о сбое политики из-за политики [ОШИБКА] (Security-High) [[ОШИБКА] Компонент (displayName = io.netty: netty-codec-http2: 4.1.30.Final, hash = 2da92f518xxxxx4954d3) [[ОШИБКА] Ограничение (высокий риск CVSS) [Уровень уязвимости безопасности> = 7, поскольку: обнаружена уязвимость безопасности CVE-2019-9514 со степенью серьезности 7.5., При условии 0, серьезность уязвимости безопасности <10, поскольку: обнаружена уязвимость безопасности CVE-2019-9514 со степенью серьезности 7.5., При условии 0, состояние уязвимости безопасности не является NOT_APPLICABLE, поскольку: обнаружена уязвимость безопасности CVE-2019-9514 со статусом «Открыто», а не «Не применимо».,при условии 0]]] [ОШИБКА] Sonatype CLM сообщает о сбое политики из-за политики [ОШИБКА] (Высокий уровень безопасности) [[ОШИБКА] Компонент (displayName = io.netty: netty-codec-http2: 4.1.30.Final, hash= 2da92f51xxxxx04954d3) [[ОШИБКА] Ограничение (высокий балл CVSS) [Серьезность уязвимости безопасности> = 7 потому что: обнаружена уязвимость безопасности CVE-2019-9515 с серьезностью 7.5., При условии 0, серьезность уязвимости безопасности <10 потому что: обнаружена уязвимость безопасностиCVE-2019-9515 с серьезностью 7.5., При условии 0, состояние уязвимости безопасности не NOT_APPLICABLE, потому что: Обнаружена уязвимость безопасности CVE-2019-9515 со статусом «Открыто», а не «Не применимо»., При условии 0]]] [ОШИБКА] Sonatype CLM сообщает о сбое политики из-за политики [ОШИБКА] (Высокий уровень безопасности) [[ОШИБКА] Компонента (displayName = io.netty: netty-common: 4.1.30.Final, hash = 5dca0cxxxxx38af51a23) [[ERROR] Ограничение (CVSS с высоким риском) [Уровень уязвимости безопасности> = 7, поскольку: обнаружена уязвимость безопасности CVE-2019-9518 с серьезностью 7.5., Вкл.условие 0, серьезность уязвимости безопасности <10, поскольку: обнаружена уязвимость безопасности CVE-2019-9518 с серьезностью 7.5., при условии 0, состояние уязвимости безопасности не NOT_APPLICABLE, поскольку: обнаружена уязвимость безопасности CVE-2019-9518 со статусом «открыто», а не«Не применимо»., При условии 0]]] </p>
Следующие уязвимости высокого уровня безопасности: CVE-2019-12402, CVE-2019-9512, CVE-2019-9514, CVE-2019-9515, CVE-2019-9518.С тех пор, как серьезность как высокий уровень безопасности.Могу ли я ожидать исправления в следующих выпусках?