Apache Geode 中的 Apache Commons 安全漏洞

问题描述 投票:0回答:1

我在多个 Linux 服务器上安装了 apache-geode-1.15.1。不幸的是,由于以下文件夹中存在文件 commons-text-1.9.jar,因此存在与 Apache Commons Text4Shell 相关的安全漏洞 CVE-2022-42889。

/locator01/GemFire_gemfire/services/http/0.0.0.0_7070_pulse_xxxxxxxx/webapp/WEB-INF/lib/commons-text-1.9.jar /locator01/GemFire_root/services/http/0.0.0.0_7070_pulse_xxxxxxxx/webapp/WEB-INF/lib/commons-text-1.9.jar

从此链接 [1] 中,缓解措施是升级到 Apache Commons Text 1.10.0。我过去曾升级过受影响的 jar 文件,但它们被删除,并且新文件夹 0.0.0.0_7070_pulse_xxxxxxxxx 下不断出现一组新的 commons-text-1.9.jar 文件。

[1] https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om

如有任何帮助,我们将不胜感激。谢谢!

apache-commons gemfire geode
1个回答
0
投票

问题的答案似乎就在 Apache Geode 安装程序本身中。

在文件夹/tools/Pulse 中,有文件geode-pulse-1.15.1.war。在该 war 文件中,有文件 geode-pulse-1.15.1.war/WEB-INF/lib/commons-text-1.9.jar 导致了问题。

在等待 Apache Geode 正式发布时,作为临时解决方法,我将文件 commons-text-1.9.jar 替换为 commons-text-1.10.0.jar,更新了 geode-pulse-1.15.1 下的 MANIFEST 文件.war/META-INF,并创建了一个新的 geode-pulse-1.15.1.war 文件,包括更新的文件。

编辑后,commons-text-1.9.jar 文件不再出现。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.