0

我的应用程序代码最近被 JFrog XRay 扫描,它产生的结果表明正在使用的 Bouncy Castle BKS 版本 1 密钥库版本存在高度漏洞。我的应用程序使用的版本是 1.61 版,也就是“源版本 = 1.61”。XRay 报告该库的受感染版本为 <= 1.46 和 >= 1.49,这也是 XRay 捕获此问题的原因。这意味着只有 1.46 和 1.49 之间的版本未被感染,其他所有版本都被感染,而 1.61 不在该范围内。那不可能是正确的。NVD 网站 ( https://nvd.nist.gov/vuln/detail/CVE-2018-5382) 声明所有版本到 1.47(不包括)都被感染。这意味着使用中的版本 (1.61) 不属于 XRay 所说的受感染列表。XRay 所陈述的内容与 NVD 所陈述的内容之间存在直接冲突。

我与 XRay 漏洞数据库的管理员联系很少。我已经要求他们检查某些事情,但现在可用。

我希望有人可以帮助我了解问题可能是什么,以便我可以将该信息传递给 XRay 管理员。

4

1 回答 1

5

我是 JFrog 的 JXRay(XRay 漏洞数据库)维护团队的一员。

查看 NVD 的参考资料,在 US-CERT 发布的漏洞说明(https://www.kb.cert.org/vuls/id/306792/)中,他们写道问题出在“BKS 密钥库格式版本”中1 (BKS-V1)”,并且在 1.47 之前的所有版本中都支持这种格式,并且在 1.49 及更高版本中恢复了对这种格式的支持。这就是版本 1.49 及更高版本可能受到影响的原因(取决于使用的格式)。

如有更多问题,请随时通过 JFrog 的支持与我们联系。

于 2019-05-21T19:55:49.190 回答