感謝 CVE-2021-44228,我們決定將 OWASP Dependency check gradle 插件集成到我們的 Android 專案中。
我們很驚訝地看到提到的 CVE 存在于 IntelliJ 依賴項中:
一個或多個依賴項在應用程式中被發現存在已知漏洞:... intellij-core-26.5.4.jar\META-INF/maven/log4j/log4j/pom.xml (pkg:maven/log4j/[email protected] ,CPE:2.3:一個:apache的:log4j的:1.2.17: ::::: :*):CVE-2019-17571,CVE-2020-9488,CVE-2021-44228
我們對此有三個問題:
- 我們是否應該擔心這個已識別的漏洞?
- intellij-core-26.5.4.jar 是怎么拉出來的?
- 這個 jar 是否存在于我們最終的 APK 中?
uj5u.com熱心網友回復:
IntelliJ 當然只是一個高級文本編輯器,與 android 應用程式本身沒有關系,所以不,我不擔心。不過,這對 JetBrains 來說可能是一種不安全感,但這確實是他們的問題
uj5u.com熱心網友回復:
CVE-2021-44228 僅適用于 Log4J2 版本 2.0-beta9 及更高版本,包括 2.14.1,請參閱:https ://logging.apache.org/log4j/2.x/security.html
它不適用于舊版本,例如 Log4J 1.2.17。
JAR 檔案intellij-core-26.5.4.jar是 IntelliJ IDEA 本身的一部分,當您使用 IntelliJ 或 Android Studio 創建 Android 應用程式時,它不會包含在您自己的應用程式的 APK 中。
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/380774.html