我正在使用以下执行器依赖项
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
带弹簧靴 2,
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.0.5.RELEASE</version>
</parent>
对强化相关漏洞的任何评论,或者我们是否有任何理由获得有关强化问题的误报。
我怀疑Fortify提出这个问题不是因为spring-boot-starter-actuator本身,而是因为它对杰克逊的传递依赖,其中包含不受信任的数据漏洞的反序列化。但是,要使应用程序易受攻击,必须满足一组非违约且可能非常不寻常的情况。您可以在杰克逊作者的这篇博文中了解有关这些情况的更多信息。Spring Boot 的执行器不支持多态类型处理,因此,如果强化警告是由杰克逊引起的,则为误报。
该漏洞已在 Jackson 2.9.7 中通过阻止某些类进行多态反序列化而得到修复。Spring Boot 2.0.6 和 2.1.0 默认使用 Jackson 2.9.7。