Prisma Cloud 报告 hazelcast 漏洞 CVE-2022-36437 问题是该项目不使用hazelcast。它使用 payara-micro 6.2023.1
hazlecast和payara-micro有什么联系?
如何解决这个漏洞?
Payara micro 正在使用 Hazelcast 进行集群或一些“核心”功能。例如。通过 Hazelcast 传递的远程 CDI 事件。据我所知,此漏洞已在 5.1.3 中修复,但 Payara Micro 使用 5.1.1。如果您在项目描述符(例如 pom.xml)中覆盖 Hazelcast 依赖项,它可能会起作用
Hazelcast 是一种广泛使用的开源内存数据网格技术,通常作为依赖项包含在许多基于 Java 的项目中,包括 Payara Micro。 Payara Micro 是一个用于部署 Java EE 和 MicroProfile 应用程序的轻量级容器,它利用各种第三方库和组件,包括 Hazelcast。
Hazelcast 中报告的漏洞 CVE-2022-36437 可能会影响任何包含 Hazelcast 未修补版本的软件产品,包括 Payara Micro。因此,如果您的 Payara Micro 版本包含有漏洞的 Hazelcast 版本,则可能会受到此漏洞的影响。
要解决该漏洞,您应该检查您的 Payara Micro 部署中包含的 Hazelcast 版本,并确保它不存在漏洞。如果它容易受到攻击,您应该将您的 Payara Micro 部署升级到包含 Hazelcast 补丁版本的版本。
或者,如果您的应用程序不需要,您可以将 Hazelcast 从您的 Payara Micro 部署中排除。您可以通过从应用程序的 Maven 或 Gradle 构建文件中删除 Hazelcast 依赖项,或者通过配置您的部署以排除 Hazelcast 模块来执行此操作。这将防止 Hazelcast 包含在您的部署中并降低此漏洞的风险。
需要注意的是,如果您从部署中排除 Hazelcast,您可能会失去它提供的一些功能,例如缓存和分布式数据结构。因此,在排除 Hazelcast 之前,您应该仔细考虑您的应用程序是否需要它。