webdrivermanager-java brotli CVE?
希望使用 webdrivermanager-java 版本 5.1.0 它依赖于 2017 年发布的 org.brotli:dec 0.1.2 (dec-0.1.2.jar)。
NVD 报告了有关 1.0.8 之前的 brotli 版本的 CVS-2020-8927 - 但它并不特定于本机或 java 版本。
谁能澄清此 CVE 是否适用于 webdrivermanager java 版本?如果是这样,是否有一个 brotli java 版本计划来纠正这个问题? 0.1.2 是 mvnrepository 中最新的版本。
如果这是一个问题,webdrivermanager 会考虑修改其 java 代码以使用另一个库吗?
谢谢。 鲍勃
Looking to use webdrivermanager-java version 5.1.0
It has a dependency on org.brotli:dec 0.1.2 (dec-0.1.2.jar), which was released in 2017.
NVD reports CVS-2020-8927 about brotli versions before 1.0.8 - but it's not specific to native or java releases.
Can anyone clarify if this CVE applies to the webdrivermanager java release? If so, is there a brotli java release planned to rectify this? 0.1.2 is the most recent in mvnrepository.
If this is an issue, would webdrivermanager consider revising its java code to use another library?
Thanks.
Bob
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
我现在就关闭这个。
经过进一步反思,这个 CVE 是针对“缓冲区溢出”的,它必须引用完整的基于“C”的 brotli 代码,而不是小型的 java 解压缩实用程序(Java 中没有发现缓冲区溢出)。
谢谢。
鲍勃
I'll close this now.
After further reflection, this CVE is for a "Buffer Overflow" which must refer to the full "C" based brotli code, not the small java decompression utility (Buffer Overflows are not found in Java).
Thanks.
Bob