XZ Utility 漏洞对代码依赖关系(Scala/Akka)影响的澄清

问题描述 投票:0回答:0

我听说 SSH 服务器中发现了一个严重漏洞,特别是影响 XZ 实用程序版本 5.6.0 和 5.6.1 以及 liblzma 库。该漏洞的跟踪编号为 CVE-2024-3094,严重程度为 10.0,表明该漏洞非常严重。

我在这里有点困惑。这个漏洞只会影响操作系统级别吗?例如,我目前正在使用 Scala (scala-2.12.18) 和 Akka。当我搜索代码时,我发现了以下依赖项:

<dependency>
  <groupId>org.tukaani</groupId>
  <artifactId>xz</artifactId>
  <scope>test</scope>
</dependency>

它位于这条路径:

.sbt oot\scala-2.12.18\org.scala-sbt\sbt .9.6\log4j-core-2.17.1.jar!\META-INF\maven\org.apache.logging.log4j\log4j -core\pom.xml

另外,我发现了这个:

<dependency>
  <groupId>org.tukaani</groupId>
  <artifactId>xz</artifactId>
  <version>1.8</version>
  <optional>true</optional>
</dependency>

在此路径:

AppData\Local\Coursie

java maven sbt xz
© www.soinside.com 2019 - 2024. All rights reserved.