Android IntelliJ核心库包含log4j 1.2。17
多亏了CVE-2021-44228,我们决定将OWASP依赖项检查gradle插件集成到我们的Android项目中。
我们惊讶地发现,所提到的CVE存在于IntelliJ依赖项中:
在应用程序中发现了一个或多个具有已知漏洞的依赖项:。。。intellij-core-26.5。4.jar\META-INF/maven/log4j/log4j/pom。xml(pkg:maven/log4j/log4j@1.2.17,cpe:2.3:a:apache:log4j:1.2。17:CVE-2019-17571、CVE-2020-9488、CVE-2021-44228
我们对此有三个问题:
- 我们应该担心这个已识别的漏洞吗?
- intellij-core-26.5.4.jar怎么拉?
- 这个罐子是否存在于我们的最终APK中?
共有2个答案
CVE-2021-44228仅适用于Log4J2版本2.0-beta9及更新版本(包括2.14)。1见:https://logging.apache.org/log4j/2.x/security.html
它不适用于旧版本,如Log4J 1.2.17。
JAR文件intellij-core-26.5。4.jar是IntelliJ IDEA本身的一部分,当您使用IntelliJ或Android Studio创建Android应用程序时,您自己的应用程序的APK中不包含jar。
IntelliJ当然只是一个高级文本编辑器,与Android应用程序本身没有关系,所以不,我不会担心。对JetBrains来说,这可能是一种不安全感,但这确实是他们的问题
-
我有一个用。NET内核编写的API,并使用xUnit来测试它们。 我的测试用例如下: 我如何在这里检查从我的控制器方法调用返回的状态代码500。类似于 在调试时,我可以看到响应具有结果返回类型(Microsoft.aspnetcore.mvc.ObjectResult),该类型的为500。
-
.NET核心和ASP.NET核心到底有什么区别?
-
我目前正在尝试将datastax核心java驱动程序转换为OSGi等效包,但不断出现错误。 我使用的版本是 非常感谢您的指点。有人研究过将datastax转换成OSGi捆绑包吗?
-
起码 Java 是一门优美的编程语言,经过10多年的发展,它几乎已经被应用到了任何地方,在高端的企业服务器上, 手持设备的芯片里,车载设备,智能家电甚至火星车上。在力所能及的情况下,最大限度的提高 Java 开发人员的生产力。
-
我是EF core的新手,我正在尝试让它与我的ASP一起工作。NET核心项目。 当尝试配置以使用配置中的连接字符串时,我在我的中得到上述错误。我正在遵循本教程。 问题代码在启动中。cs: 如果我将方法直接放入上下文中,则可以识别它: 我在网上的所有研究都指向缺失的参考文献,但我似乎无法找出我缺失的是哪一个(见图)。
-
19.2 核心与核心模块 谈完了整个开机的流程,您应该会知道,在整个开机的过程当中,是否能够成功的驱动我们主机的硬件配备, 是核心 (kernel) 的工作!而核心一般都是压缩文件,因此在使用核心之前,就得要将他解压缩后,才能载入内存当中。 另外,为了应付日新月异的硬件,目前的核心都是具有“可读取模块化驱动程序”的功能, 亦即是所谓的“ modules (模块化)”的功能啦!所谓的模块化可以将他想