java开源异常处理框架-java开源异常处理框架

CVE 编号尚未分配：影响1.18.1之前的版本

某些 http-proxy 版本易受拒绝服务攻击。主体部分较长的HTTP 请求能够触发 ERR_HTTP_HEADERS_SENT 未被处理的异常，从而使代理服务器崩溃。只有当代理服务器通过使用 proxyReq.setHeader 函数在代理请求中设置标头时，才会发生这种情况。

Http-proxy 是一种 HTTP 可编程代理库，支持 websocket 并有助于实现多个组件如反向代理和负载平衡器之类的组件。它是一个非常受欢迎的开源库，目前每周的 NPM 下载量接近1200万java开源异常处理框架，而且支持2000多个依赖。鉴于此，用户有必要确保使用的是最新版本 1.18.1。

6、decompress

CVE-2020-12265，CVSS 评分9.8，严重，影响 4.2.1 以前的版本

NPM 安全公告指出，受影响的 decompress 版本易受任意文件写入漏洞影响。恶意人员可通过包含含有 ../ 的文件名称写入任意文件夹，因为该软件包不会通过相对路径阻止文件提取。

Decompress 是一个致力于轻松提取文档的开源项目。它说明了相对小型项目中的漏洞，很多人通过它执行简单的任务，如果漏洞未得到修复可为用户造成巨大损害。Decompress 等项目让编程更容易，但虽然它们执行的任务看似简单，但不能因此忽视对开源漏洞的管理工作。

安全公告建议更新至版本 4.2.1 或后续版本。

7、XStream

CVE-2020-26217，CVSS评分8.8，高危，影响1.4.14之前版本

易受攻击的 XStream 中存在一个远程代码执行漏洞。XStream 解释称，“在解组时处理的流包括重构之前写入对象的类型信息。因此，XStream 基于这些类型信息创建新的实例。攻击者能够操纵处理后的输入流，并替换或注入可以执行任意 shell 命令的对象。“

GitHub 安全公告建议依赖 XStream 的用户将安全框架的默认黑名单更新到 1.4.14 或后续版本。遵循建议通过白名单设置 XStream 的 Security Framework 的用户不受影响。

XStream 是一个开源库，执行从 Java 到 XML 的序列化，然后再返回。文档列出了传输、持久性、配置和单元测试的典型用法。由于它是许多开源 Java Web 应用程序所使用的非常流行的库，因此确保正在使用最新版本并遵循建议非常重要。

8、Netty

CVE-2020-11612，CVSS 评分9.8，影响 4.1.46 之前的 4.1.x 版本。

ZlibDecoders 易受攻击的 Netty 版本在解码 ZlibEncoded 字节流时，可导致无限制的内存分配。恶意人员可利用该漏洞向 Netty 服务器发送较大的 ZlibEncoded 字节流，从而迫使服务器将所有可用内存分配给单个解码器。

Netty 是一个异步事件驱动的网络应用程序框架，旨在快速开发可维护的高性能协议服务器和客户端。该项目的文档指出，此 NIO 客户端/服务器框架有助于简化和梳理 TCP 和 UDP 套接字服务器等网络编程。

9、Spring Framework

CVE-2020-5398，CVSS 评分7.5，影响版本包括：5.2.3之前的 5.2.x 版本、5.1.13 之前的 5.1.x 版本以及5.0.16之前的5.0.x版本。

在受影响的 Spring Framework 版本中，当应用程序在响应（文件名称属性是由用户提供的衍生输入）中设置 “Content-Disposition” 标头时，应用程序易受反射型文件下载 (RFD) 攻击的影响。

如果你正在使用 Java，很可能会遇到 Spring。它是极其流行的 Java 应用开发框架，得益于其模块化和轻量的特点，可使开发人员轻松创建出强大的应用程序。众所周知，它颠覆了控制设计原理（结合了分层、轻量级容器以及可在接口上编程的能力）。

10、PyYAML

CVE-2020-1747java开源异常处理框架，CVSS 评分9.8，影响 5.3.1 之前的版本。

当不受信任的 YAML 文件通过 full_load 方法或通过 FullLoader 负载器处理时，易受攻击的 PyYAML 库易受任意代码执行漏洞的影响。攻击者可利用该漏洞通过滥用 python/object/new 构建器在系统上滥用任意代码。

PyYAML 是一款极其流行的针对 Python 的 YAML 解析器和发射器。由于近年来 Python 的热度高居不下，因此用户最好确保使用的是 PyYAML 的更新版本。

原文链接：