Question

Мое приложение основано на последней версии релиза Spring Cloud (на данный момент Greenwich.SR1). В Spring-cloud-config-server (CVE-2019-3799) сообщалось об уязвимости обхода каталога. Эта уязвимость была исправлена в Spring Cloud Config 2.1.2.

Однако в спецификации Spring Cloud Greenwich.SR1 по-прежнему перечислены уязвимые версии конфигурации SC.1 2.1.1.

У меня сложилось впечатление, что использование последней версии релиза для Spring Cloud - лучший способ поддерживать мое приложение с последними обновлениями безопасности. Видимо я был не прав. Каков лучший способ тогда? Нужно ли вручную включать / исключать версию исправленных модулей?

build.gradle

...
dependencies {
    compile('org.springframework.cloud:spring-cloud-config-server')
    testCompile('org.springframework.boot:spring-boot-starter-test')
}

dependencyManagement {
    imports {
        mavenBom "org.springframework.cloud:spring-cloud-dependencies:Greenwich.SR1"
    }
}

Отчет об уязвимостях: https://pivotal.io/security/cve-2019-3799
Спецификация для Spring Cloud Greenwich.SR1: https://search.maven.org/artifact/org.springframework.cloud/spring-cloud-dependencies/Greenwich.SR1/pom
Последняя версия спецификации Spring Cloud (Greenwich.SR1 является последней на момент написания этой статьи): https://search.maven.org/search?q=g:org.springframework.cloud%20AND%20a:spring-cloud-dependencies&core=gav
Релизы spring-cloud-config-server: https://search.maven.org/search?q=g:org.springframework.cloud%20AND%20a:spring-cloud-config-server&core=gav

Как обновлять приложение на базе Spring Cloud с последними обновлениями безопасности?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 0 ]

Как обновлять приложение на базе Spring Cloud с последними обновлениями безопасности?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 0 ]

Похожие темы