0

我正在使用 JFrog XRay,它扫描了我们的 Artifactory 并在第三方库中发现了一个漏洞,这是我的应用程序的依赖项。

从组件扫描中,我单击 CVE 编号并获取此信息

**Details**
 Summary [CVE-XXX-YYY] Improper Input Validation
 Type Security
 Severity Critical
 ....
 Infected Component __internal component__
 Source Version 1.2.3

但是,没有建议的“解决方案”。例如,“升级到 1.2.4”或“升级到 2.0.1”。

理想情况下,我不想安装此组件的所有版本并单独扫描它们。

在这种情况下,“参考”链接没有那么有用。

任何有关正确工作流程以找到对 JFrog Xray 中识别的易受攻击组件的安全升级的任何建议都将在这里提供最大帮助。

4

1 回答 1

1

当 NVD 中报告新漏洞时,修复版本并不总是可用,这就是 Jfrog Xray 并不总是显示它的原因,如果修复版本不可用,选项有:

  1. 如果易受攻击的软件版本有一个范围 (1.2,1.5] 那么固定版本可以包含 1.2 之前的任何版本或 1.5 之后的任何版本

  2. 如果易受攻击的软件版本具有上述开放范围,例如(1.2,),则固定版本可以是 1.2 之前的任何版本,包括

  3. 如果易受攻击的软件版本具有以下开放范围,例如:(,1.2) 那么固定版本可以是 1.2 之后的任何版本,包括

注意:最好是查找“修复版本”字段,如果未指定,它会准确指定修复问题的版本,以上可以提供一定程度的指导。

仅当信息在源(报告漏洞的位置)上可用时,Jfrog Xray 才会报告“修复版本”

于 2018-11-22T12:33:49.313 回答