多亏了CVE-2021-44228,我们决定将OWASP依赖性检查gradle插件集成到我们的Android项目中。
我们惊讶地看到,前面提到的CVE出现在IntelliJ依赖项中:
在应用程序中发现了一个或多个具有已知漏洞的依赖项:这是一个很好的解决方案,它可以帮助你在一个很短的时间内完成所有的工作。CVE-2019-17571、CVE-2020-9488、CVE-2021-44228的相关文件
关于这一点,我们有三个问题:
- 我们是否应该担心这个已确定的漏洞?
- 如何取出intellij-core-26.5.4.jar?
- 我们最终的APK中是否存在此jar?
2条答案
按热度按时间fcipmucu1#
当然,IntelliJ只是一个高级文本编辑器,与安卓应用程序本身没有任何关系,所以我不会担心。不过,这可能会让JetBrains感到不安全,但这确实是他们的问题
93ze6v8z2#
CVE-2021-44228仅适用于Log4J 2版本2.0-beta 9和更新版本2.14.1,请参见:https://logging.apache.org/log4j/2.x/security.html
它不适用于旧版本,如Log4J 1.2.17。
JAR文件
intellij-core-26.5.4.jar是IntelliJ IDEA本身的一部分,而不是您使用IntelliJ或Android Studio创建Android应用时您自己的应用的APK中包含的内容。