In meinem Projekt verwende ichUpdate taglib Standardversion innerhalb jstl gebündelt 1.2
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
<type>jar</type>
</dependency>
aber nach unserem Sicherheitsteam die Gläser bewertet herausgefunden, dass die gebündelten org.apache.taglibs: Standard jar ist Version 1.2. 1, die eine Sicherheitslücke aufweist (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0254). Apache hat es bereits in der Version 1.2.3 (https://tomcat.apache.org/taglibs/standard/) behoben.
Außerdem zeigt META-INF/c.tld, dass es tatsächlich JSTL Version 1.1 statt 1.2 ist (siehe JSTL version 1.2 declared but 1.1 delivered from Maven Repository). Vielleicht ist dieser Fehler mit der falschen Taglibs-Standardversion verbunden?
Was soll ich tun, um die gebündelte taglibs-Standardversion in jstl zu aktualisieren?
Was vulrenability wird diese Webapp wirklich JSTL XML-Tags? (z.B. oder ). Deren Verwendung wurde seit JSP 2.0 vor mehr als einem Jahrzehnt (zusammen mit JSTL-SQL-Tags) dringend empfohlen und Sie sollten stattdessen "normales" JAXP oder JAXB verwenden. Solange Ihre Webanwendung die entmutigten JSTL (oder ) Tags nicht verwendet, sollte dies sicher sein. –
BalusC
Sie sollten verwundbare Jars entfernen, Ihren lokalen Repo säubern, Fehler in 'pom.xml' beheben, temporäre Ordner säubern oder ein Projekt von Grund auf neu erstellen, neu aufbauen, neu packen. Wenn Sie alle diese Schritte getan haben, sollte es Bibliotheken aktualisieren, andernfalls sollten Sie jemanden fragen, der Ihnen helfen kann. –
@BalusC tbh, keine Ahnung ob es benutzt wird. "Mein Projekt" ist als eine App auf Unternehmensebene gedacht, bei der meine einzige Aufgabe darin besteht, Sicherheitslücken zu schließen. RomanC Ich glaube nicht, dass dies hilft, weil dies das neueste offizielle Glas aus dem zentralen maven Repo ist. es wurde einfach nicht mit den neusten Gläsern aktualisiert, die es bündelt. – sceiler