java开源异常处理框架-java开源异常处理框架
CVE 编号尚未分配:影响1.18.1之前的版本
某些 http-proxy 版本易受拒绝服务攻击。主体部分较长的HTTP 请求能够触发 ERR_HTTP_HEADERS_SENT 未被处理的异常,从而使代理服务器崩溃。只有当代理服务器通过使用 proxyReq.setHeader 函数在代理请求中设置标头时,才会发生这种情况。
Http-proxy 是一种 HTTP 可编程代理库,支持 websocket 并有助于实现多个组件如反向代理和负载平衡器之类的组件。它是一个非常受欢迎的开源库,目前每周的 NPM 下载量接近1200万java开源异常处理框架,而且支持2000多个依赖。鉴于此,用户有必要确保使用的是最新版本 1.18.1。
6、decompress
CVE-2020-12265,CVSS 评分9.8,严重,影响 4.2.1 以前的版本
NPM 安全公告指出,受影响的 decompress 版本易受任意文件写入漏洞影响。恶意人员可通过包含含有 ../ 的文件名称写入任意文件夹,因为该软件包不会通过相对路径阻止文件提取。
Decompress 是一个致力于轻松提取文档的开源项目。它说明了相对小型项目中的漏洞,很多人通过它执行简单的任务,如果漏洞未得到修复可为用户造成巨大损害。Decompress 等项目让编程更容易,但虽然它们执行的任务看似简单,但不能因此忽视对开源漏洞的管理工作。
安全公告建议更新至版本 4.2.1 或后续版本。
7、XStream
CVE-2020-26217,CVSS评分8.8,高危,影响1.4.14之前版本
易受攻击的 XStream 中存在一个远程代码执行漏洞。XStream 解释称,“在解组时处理的流包括重构之前写入对象的类型信息。因此,XStream 基于这些类型信息创建新的实例。攻击者能够操纵处理后的输入流,并替换或注入可以执行任意 shell 命令的对象。“
GitHub 安全公告建议依赖 XStream 的用户将安全框架的默认黑名单更新到 1.4.14 或后续版本。遵循建议通过白名单设置 XStream 的 Security Framework 的用户不受影响。
XStream 是一个开源库,执行从 Java 到 XML 的序列化,然后再返回。文档列出了传输、持久性、配置和单元测试的典型用法。由于它是许多开源 Java Web 应用程序所使用的非常流行的库,因此确保正在使用最新版本并遵循建议非常重要。
8、Netty
CVE-2020-11612,CVSS 评分9.8,影响 4.1.46 之前的 4.1.x 版本。
ZlibDecoders 易受攻击的 Netty 版本在解码 ZlibEncoded 字节流时,可导致无限制的内存分配。恶意人员可利用该漏洞向 Netty 服务器发送较大的 ZlibEncoded 字节流,从而迫使服务器将所有可用内存分配给单个解码器。
Netty 是一个异步事件驱动的网络应用程序框架,旨在快速开发可维护的高性能协议服务器和客户端。该项目的文档指出,此 NIO 客户端/服务器框架有助于简化和梳理 TCP 和 UDP 套接字服务器等网络编程。
9、Spring Framework
CVE-2020-5398,CVSS 评分7.5,影响版本包括:5.2.3之前的 5.2.x 版本、5.1.13 之前的 5.1.x 版本以及5.0.16之前的5.0.x版本。
在受影响的 Spring Framework 版本中,当应用程序在响应(文件名称属性是由用户提供的衍生输入)中设置 “Content-Disposition” 标头时,应用程序易受反射型文件下载 (RFD) 攻击的影响。
如果你正在使用 Java,很可能会遇到 Spring。它是极其流行的 Java 应用开发框架,得益于其模块化和轻量的特点,可使开发人员轻松创建出强大的应用程序。众所周知,它颠覆了控制设计原理(结合了分层、轻量级容器以及可在接口上编程的能力)。
10、PyYAML
CVE-2020-1747java开源异常处理框架,CVSS 评分9.8,影响 5.3.1 之前的版本。
当不受信任的 YAML 文件通过 full_load 方法或通过 FullLoader 负载器处理时,易受攻击的 PyYAML 库易受任意代码执行漏洞的影响。攻击者可利用该漏洞通过滥用 python/object/new 构建器在系统上滥用任意代码。
PyYAML 是一款极其流行的针对 Python 的 YAML 解析器和发射器。由于近年来 Python 的热度高居不下,因此用户最好确保使用的是 PyYAML 的更新版本。
原文链接: