在我们的项目中,我们使用的是Spring安全版本5.1.5.RELEASE,我想使用Feign客户端(当前我们拥有Spring cloud OpenFeign)来为其他Rest API实现客户端。
但是安全性检查显示严重性较高的漏洞CVE-2018-1258,这是因为我们使用的Spring Security 5版本较低,但是这些是可用的最新版本之一。
现在是Spring Dependencies-
ext.springBootVersion = "2.1.6.RELEASE"
ext.springCloudVersion = "2.1.3.RELEASE"
ext.springSecurityVersion = "5.1.5.RELEASE"
"org.springframework.boot:spring-boot-starter-web:${springBootVersion}",
"org.springframework.boot:spring-boot-starter-actuator:${springBootVersion}",
"org.springframework.boot:spring-boot-starter-security:${springBootVersion}",
"org.springframework.boot:spring-boot-starter-hateoas:${springBootVersion}",
"org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:${springBootVersion}",
"org.springframework.cloud:spring-cloud-starter-openfeign:${springCloudVersion}",
"org.springframework.cloud:spring-cloud-security:${springCloudVersion}"
有没有办法解决这个问题,或者我必须删除Feign客户端并自行实现?
理想情况下,这不适用于您的情况,根据Spring https://pivotal.io/security/cve-2018-1258,
缓解措施
- 使用Spring Framework 5.x的用户应避免使用Spring Framework 5.0.5.RELEASE。更新到Spring Security 5.0.5.RELEASE +或Spring Boot 2.0.2.RELEASE +引入了Spring Framework5.0.6.RELEASE +可传递。但是,用户应确保还更新了其他依赖关系管理机制以使用Spring。Framework 5.0.6.RELEASE或更高版本。
- 用户利用Spring Framework4.x(Spring Security 4.x或Spring Boot 1.x)不受影响,因此不需要任何步骤。
- 不需要其他缓解步骤。