我听说 SSH 服务器中发现了一个严重漏洞,特别是影响 XZ 实用程序版本 5.6.0 和 5.6.1 以及 liblzma 库。该漏洞的跟踪编号为 CVE-2024-3094,严重程度为 10.0,表明该漏洞非常严重。
我在这里有点困惑。这个漏洞只会影响操作系统级别吗?例如,我目前正在使用 Scala (scala-2.12.18) 和 Akka。当我搜索代码时,我发现了以下依赖项:
<dependency>
<groupId>org.tukaani</groupId>
<artifactId>xz</artifactId>
<scope>test</scope>
</dependency>
它位于这条路径:
.sbt oot\scala-2.12.18\org.scala-sbt\sbt .9.6\log4j-core-2.17.1.jar!\META-INF\maven\org.apache.logging.log4j\log4j -core\pom.xml
另外,我发现了这个:
<dependency>
<groupId>org.tukaani</groupId>
<artifactId>xz</artifactId>
<version>1.8</version>
<optional>true</optional>
</dependency>
在此路径:
AppData\Local\Coursie