search

Azure / azure-cosmosdb-java

Java Async SDK for SQL API of Azure Cosmos DB
MIT License
54 stars 61 forks source link

同学,您这个项目引入了119个开源组件,存在41个漏洞,辛苦升级一下 #403

Open ghost opened 2 years ago

ghost commented 2 years ago

检测到 Azure/azure-cosmosdb-java 一共引入了119个开源组件,存在41个漏洞

漏洞标题:netty 安全漏洞
缺陷组件:io.netty:netty-codec@4.1.50.Final
漏洞编号:CVE-2021-37136
漏洞描述:Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。
netty存在安全漏洞,该漏洞源于Bzip2 decompression decoder功能不允许对解压输出数据设置大小限制(这会影响解压期间使用的分配大小)。攻击者可利用该漏洞引发DoS攻击。
影响范围:(∞, 4.1.68.Final)
最小修复版本:4.1.68.Final
缺陷组件引入路径:com.microsoft.azure:azure-cosmosdb-commons-test-utils@2.6.15->com.microsoft.azure:azure-cosmosdb-commons@2.6.15->io.netty:netty-codec-http@4.1.50.Final->io.netty:netty-codec@4.1.50.Final

另外还有41个漏洞,详细报告:https://mofeisec.com/jr?p=a2ffaa