如何修复Spring Boot应用程序中的CVE-2019-8457漏洞,因为我已知的依赖项中没有包括Spring Boot 2.6.6中的SQLite3, jdk18-slim docker映像
CVE-2019-8457
db5.3:5.3.28+dfsg1-0.8
HIGH
SQLite3 from 3.6.0 to and including 3.27.2 is vulnerable to heap out-of-bound read in the rtreenode() function when handling invalid rtree tables.
使用阿尔卑斯版本的容器镜像,这些镜像大多没有高危漏洞
请检查项目的依赖树,检查是否有在sqlite3上定义的传递依赖。. 您可能没有使用sqlite3直接在项目依赖项中,有可能其他库已将其定义为依赖项。
maven。
mvn dependency:tree
gradle。
gradle dependencies
找到后,使用排除模式排除旧版本的sqlite3并显式声明sqlite3的依赖项sqlite3版本。