组件漏洞
Closed this issue · 4 comments
gitYupan commented
Describe the question or bug
以下组件有漏洞,被打包到sofa-ark-all-2.2.1.jar/lib/ 中,业务无法指定pom版本来进行升级
Guava-30.1-jre:CVE-2023-2976 -高危
Netty Handler-4.1.90.Final:CVE-2023-34462 -中危
Environment
- SOFAArk version:2.2.1
- JVM version (e.g.
java -version):1.8 - OS version (e.g.
uname -a):Linux
lvjing2 commented
你好,能详细解释下业务为何无法指定版本吗?
gitYupan commented
上传到maven**仓库的sofa-ark-all-2.2.1.jar将guava、netty等依赖打包到了sofa-ark-all-2.2.1.jar/lib/中
gitYupan commented
报告图如下:
lvjing2 commented
OK, 了解了,是 sofaArk compile 依赖了这几个依赖引入导致的。