文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >apache olingo: CVE-2022-40153关于依赖型woodstox-core

apache olingo: CVE-2022-40153关于依赖型woodstox-core
EN

Stack Overflow用户
提问于 2022-11-02 06:00:42
回答 2查看 72关注 0票数 0

我们的CVE跟踪器正在标记odata-client-core (4.8.0版),因为存在受CVE-2022-40153影响的依赖型woodstox-core (Version6.2.4)。

相关的依赖树如下:

代码语言:javascript
复制
+- org.apache.olingo:odata-client-core:jar:4.8.0:compile
[INFO] |  +- org.apache.olingo:odata-client-api:jar:4.8.0:compile
[INFO] |  |  \- org.apache.olingo:odata-commons-api:jar:4.8.0:compile
[INFO] |  +- org.apache.olingo:odata-commons-core:jar:4.8.0:compile
[INFO] |  +- commons-codec:commons-codec:jar:1.15:compile
[INFO] |  +- org.apache.httpcomponents:httpclient:jar:4.5.13:compile
[INFO] |  |  \- org.apache.httpcomponents:httpcore:jar:4.4.15:compile
[INFO] |  +- org.slf4j:slf4j-api:jar:1.7.32:compile
[INFO] |  +- com.fasterxml.jackson.core:jackson-core:jar:2.12.6:compile
[INFO] |  +- com.fasterxml.jackson.core:jackson-annotations:jar:2.12.6:compile
[INFO] |  +- com.fasterxml.jackson.dataformat:jackson-dataformat-xml:jar:2.12.6:compile
[INFO] |  |  +- com.fasterxml.jackson.module:jackson-module-jaxb-annotations:jar:2.12.6:compile
[INFO] |  |  +- org.codehaus.woodstox:stax2-api:jar:4.2.1:compile
[INFO] |  |  \- com.fasterxml.woodstox:woodstox-core:jar:6.2.4:compile

这个问题在woodstox-core 6.4.0中得到了解决。odata-client-core的最新版本(4.9.0版)仍在使用易受攻击的woodstox-core版本。

  1. 是否有升级woodstox-core版本的计划?如果是,预计哪个版本会得到修复?
  2. 是否有人知道woodstox-core 6.4.0是否与odata-client-core 4.8.0或4.9.0版本兼容,以便在pom中排除woodstox-core 6.2.0并添加woodstox-core 6.4.0?
olingo
woodstox
EN

回答 2

Stack Overflow用户

回答已采纳

发布于 2022-11-13 18:15:55

这已经在olingo邮件列表中得到了回答。以下是答案

代码语言:javascript
复制
Hi,

I have checked that Olingo works with Jackson 2.14.0 (which have newer version of woodstox-core) and have updated the Jackson version accordingly.
With the next version 4.10.0 it will be available.
For your current project I suggest to overwrite/set the used Jackson version to 2.14.0.

Kind Regards, Michael
票数 0
EN

Stack Overflow用户

发布于 2022-11-02 21:58:49

Woodstox次要版本在5.x和6.x系列中往往高度兼容,只是添加了一些次要的新功能和补丁。因此,虽然我不确定,但我认为6.4.0很可能会作为这个库使用的6.2.0的简单插入替代。

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/74284933

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档