Spring Boot com.h2database:h2@2.1.214漏洞

0md85ypi  于 2023-08-04  发布在  Spring
关注(0)|答案(2)|浏览(240)

我怎样才能从项目中摆脱这个问题?我应该停止使用H2数据库吗?
我还发现com.h2database:h2没有固定版本。

CVE-2022-45868 7.8 Cleartext Storage of Sensitive Information vulnerability pending CVSS allocation
CVE-2022-45868 7.8 Cleartext Storage of Sensitive Information vulnerability pending CVSS allocation

字符串

nnsrf1az

nnsrf1az1#

这不是一个真实的的漏洞,目前它被标记为有争议的。
所谓的漏洞利用将密码本身放在一个可能不安全的地方,然后使用这个可能受损的(取决于环境)密码启动H2服务器进程。伪造漏洞的作者将密码泄露归咎于H2,但密码并没有被H2泄露;它由启动H2的代码暴露。不幸的是,许多项目收到各种关于虚构漏洞的奇怪报告,有时它们被提升为CVE。
H2数据库的最后一个已知的真实的漏洞版本可能是1.4.200。最新版本的H2控制台具有已知的真实的漏洞是2.0.206。这两个版本都比较老。
但是如果一些代码检查工具将2.1.214标记为易受攻击,并且您无法禁用此警告,则可以使用最新的H2 2.2.220;它不应该被标记为脆弱这个版本实际上有一些额外的保护,从企图做愚蠢的事情与这些密码。

2eafrhcq

2eafrhcq2#

That CVE不应该被创建。这不是一个bug,也没有什么需要修复的。您可以继续使用H2。
有关库作者的详细解释,请参阅此问题评论。

相关问题