Snyk 拒绝服务:utp:[电子邮件受保护] > io.grpc:[电子邮件受保护] > io.netty:[电子邮件受保护]

问题描述 投票:0回答:2

我在运行Snyk开源安全管理工具后遇到漏洞,不知道如何解决。

我相信这与 Android Gradle 插件引入的库有关。

Issues with no direct upgrade or patch:

✗ Denial of Service (DoS) [High Severity][https://security.snyk.io/vuln/SNYK-JAVA-IONETTY-5953332] in io.netty:[email protected]
    introduced by com.android.tools.utp:[email protected] > io.grpc:[email protected] > io.netty:[email protected]
  This issue was fixed in versions: 4.1.100.Final
android-gradle-plugin grpc netty denial-of-service snyk
2个回答
0
投票

解决此问题的最佳方法是将库的版本更新为建议的 4.1.100.Final 版本。如果您使用的是 UI,屏幕上的某处应该有一个“打开修复 PR 按钮”。如果您允许集成并为您创建 PR,则单击它将带您进入 SCM。您所要做的就是检查并合并。

0
投票

我在将 

snyk
Android Gradle Plugin
升级到 
8.2.1
 时遇到了同样的
8.5.1

问题

为了解决这个问题,我降级回

8.2.1
,但我希望上游修复能够完成,这样我就可以回到
8.5.1

有漏洞的

netty
版本是由 
com.android.tools.utp:[email protected]
,它是 
com.android.application:com.android.application.gradle.plugin:8.5.1

的依赖项

我通过跑步确认了这一点

./gradlew dependencies --scan

build.gradle
0.067s
com.android.application:com.android.application.gradle.plugin:8.5.1
    com.android.tools.build:gradle:8.5.1
        androidx.databinding:databinding-common:8.5.1
        androidx.databinding:databinding-compiler-common:8.5.1
        com.android.databinding:baseLibrary:8.5.1
        com.android.tools.analytics-library:crash:31.5.1
        com.android.tools.analytics-library:shared:31.5.1
        com.android.tools.build.jetifier:jetifier-core:1.0.0-beta10
        com.android.tools.build.jetifier:jetifier-processor:1.0.0-beta10
        com.android.tools.build:aapt2-proto:8.5.1-11315950
        com.android.tools.build:aaptcompiler:8.5.1
        com.android.tools.build:builder-model:8.5.1
        com.android.tools.build:builder-test-api:8.5.1
        com.android.tools.build:builder:8.5.1
        com.android.tools.build:bundletool:1.16.0
        com.android.tools.build:gradle-api:8.5.1
        com.android.tools.build:gradle-settings-api:8.5.1
        com.android.tools.build:transform-api:2.0.0-deprecated-use-gradle-api
        com.android.tools.ddms:ddmlib:31.5.1
        com.android.tools.layoutlib:layoutlib-api:31.5.1
        com.android.tools.lint:lint-model:31.5.1
        com.android.tools.lint:lint-typedef-remover:31.5.1
        com.android.tools.utp:android-device-provider-ddmlib-proto:31.5.1
        com.android.tools.utp:android-device-provider-gradle-proto:31.5.1
here -> com.android.tools.utp:android-test-plugin-host-additional-test-output-proto:31.5.1
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.