贵司:
您好,
之前接触了StarRocks软件,在自己的测试过程中,使用感觉良好。于是想在公司内做引入使用。在引入的过程中,请公司的对安装包进行安全扫描的时候,发现贵司StarRocks引用的组件,版本比较低,有一些组件漏洞,有无可能对引入的开源组件的版本使用高版本的。
当时测试的是2.5的版本StarRocks。
具体如下:
| 组件名称 | 组件版本 | 漏洞编号 | 目前最新版本 | 是否可以升级到此版本 | |
|---|---|---|---|---|---|
| commons-httpclient | 3.1 | CVE-2012-5783,CVE-2012-6153 | 3.1-atlassian-2 | ||
| log4j | 1.2.17 | CVE-2022-23305,CVE-2019-17571,CVE-2021-4104,CVE-2022-23302,CVE-2022-23307,CVE-2020-9488 | 1.2.17-atlassian-13 | 是否可以使用logback;目前log4j暴雷后都怕了 | |
| kafka-clients | 1.1.1 | CVE-2018-17196,CVE-2021-38153 | 3.2.0 | 2.7.2 | |
| mina-core | 2.0.7 | CVE-2019-0231,CVE-2021-41973 | 3.0.0-M2 | 2.0.22 | |
| log4j-core | 2.17.1 | XMIRROR-OSS-4721 | 2.18.0 | 2.18.0 | |
| jetty-http | 9.4.43.v20210629 | CVE-2022-2047,CVE-2022-2047 | 11.0.11 | 9.4.47.v20220610 | |
| log4j-api | 2.17.1 | XMIRROR-OSS-4721 | 2.18.0 | 2.18.0 | |
| jackson-mapper-asl | 1.9.13 | CVE-2019-10172 | 1.9.14-atlassian-6 | ||
| slf4j-ext | 1.7.25 | CVE-2018-8088 | 2.0.0-alpha7 | 1.7.26 | |
| protobuf-java | 2.5.0 | CVE-2015-5237,CVE-2021-22569 | 4.0.0-rc-2 | 3.16.1 | |
| jackson-databind | 2.10.3 | CVE-2020-25649,CVE-2020-36518 | 2.13.3 | 2.12.6.1 | |
| spring-beans | 4.2.5.RELEASE | CVE-2022-22965,CVE-2022-22970 | 5.3.21 | 5.2.22.RELEASE | |
| spring-core | 4.2.5.RELEASE | CVE-2018-1270,CVE-2018-1275,CVE-2018-15756,CVE-2018-1272,CVE-2016-9878,CVE-2016-5007,CVE-2022-22968,CVE-2022-22970,CVE-2022-22971,CVE-2021-22096,CVE-2021-22060,CVE-2018-1257,CVE-2018-1271 | 5.3.21 | 5.2.22.RELEASE | |
| apacheds-kerberos-codec | 2.0.0-M15 | XMIRROR-OSS-4410 | 2.0.0.AM26 | ||
| jetty | 6.1.26 | CVE-2020-27216,CVE-2011-4461,CVE-2020-27216,CVE-2011-4461 | 7.0.0pre3 | ||
| zookeeper | 3.4.6 | CVE-2018-8012,CVE-2017-5637,CVE-2019-0201 | 3.8.0 | 3.4.14 | |
| ant | 1.6.5 | CVE-2021-36374,CVE-2021-36373,CVE-2020-1945 | 1.7.0 | ||
| amqp-client | 3.3.5 | CVE-2018-11087,CVE-2018-11087,CVE-2018-11087 | 5.15.0 | 4.8.0 | |
| bc-fips | [1.0.2,2.0.0) | CVE-2020-15522,CVE-2020-26939 | 1.0.2.3 | 1.0.2.1 | |
| jasper-compiler | 5.5.23 | CVE-2016-6796 | 5.5.23 | ||
| jasper-runtime | 5.5.23 | CVE-2016-5018 | 5.5.23 | ||
| jetty-servlets | 9.3.27.v20190418 | CVE-2021-28169,CVE-2021-28169 | 11.0.11 | 9.4.41.v20210516 | |
| libthrift | 0.13.0 | CVE-2020-13949 | 0.16.0 | 0.14.0 | |
| velocity | 1.7 | CVE-2020-13936 | 1.7 | ||
| hadoop-hdfs | 2.5.1 | XMIRROR-OSS-3896,CVE-2012-3376,CVE-2017-3162,CVE-2016-5001,CVE-2017-3161 | 3.3.3 | 2.7.4 | |
| jersey-media-jaxb | 2.22.2 | XMIRROR-OSS-4200,XMIRROR-OSS-4200,XMIRROR-OSS-4200,XMIRROR-OSS-4200,XMIRROR-OSS-4200 | 3.1.0-M3 | 2.31 | |
| netty | 3.9.9.Final | CVE-2019-16869 | 4.0.0.Alpha8 | ||
| netty-handler | 4.1.77.Final | XMIRROR-OSS-3600 | 5.0.0.Alpha2 | 5.0.0.Alpha1 | |
| freemarker | 2.3.9 | XMIRROR-OSS-3816 | 2.3.31 | 2.3.30 | |
| spring-context | 3.0.7.RELEASE | CVE-2022-22968 | 5.3.21 | 5.2.21.RELEASE | |
| bcprov-jdk15on | 1.65 | CVE-2020-28052,CVE-2020-15522 | 1.70 | 1.67 | |
| spark-network-common_2.12 | 2.4.6 | CVE-2021-38296 | 3.3.0 | 3.1.3 | |
| kotlin-stdlib | 1.4.10 | CVE-2020-29582,CVE-2022-24329 | 1.7.0 | 1.6.0 | |
| httpclient | 4.5.6 | CVE-2020-13956 | 4.5.13 | 4.5.13 | |
| jnr-posix | 3.1.4 | CVE-2014-4043,XMIRROR-OSS-4486,CVE-2014-4043,XMIRROR-OSS-4486,CVE-2014-4043,XMIRROR-OSS-4486 | 3.1.15 | 3.1.8 | |
有劳各位专家了。