Xerces是一个通过xom进入CoreNLP的传递依赖。它有一个漏洞CVE-2022-23437,需要升级到2.12.2。我可以看到,截至目前,xom没有发布任何升级Xerces的新版本。
gtlvzcf81#
你能发一个关于xom的问题吗?我们无法控制它,基本上没有机会尝试移除它......2022年3月30日星期三晚上11:55,Sandeep Kulkarni ***@***.***>写道:Xerces是一个通过xom进入CoreNLP的传递依赖。它有一个漏洞CVE-2022-23437 < https://github.com/advisories/GHSA-h65f-jvqw-m9fj >,需要升级到2.12.2版本。我可以看到xom没有新版本可以升级到这个日期的Xerces。——直接回复此电子邮件,查看GitHub上的<#1264>,或取消订阅< https://github.com/notifications/unsubscribe-auth/AA2AYWJ63KZEHIV75CQIMN3VCVD5JANCNFSM5SELEJ4Q >。你收到这封邮件是因为你订阅了这个线程。消息ID: ***@***.***>
2wnc66cl2#
是的,我也做过那个:elharo/xom#175
x0fgdtte3#
xerces实际上并不在我们发布的版本中,或者在我们的pom文件中,对吗?除了替换xom,我们完全无法做任何事情来影响这个。如果xom被更新了而我们没有注意到,请随时联系我们,我们会进行更新。
inkz8wg94#
Xom已经更新到1.3.8版本。并且xalan已经被设置为可选。xalan的值为vuln CVE-2022-34169。
jc3wubiy5#
谢谢,我们可以尝试一下:3ded6f0
jdzmm42g6#
@VishalGokhale 显然maven仍然从xom导入xalan。查看xom的pom文件,我看不到任何理由相信xalan是可选的:https://repo1.maven.org/maven2/xom/xom/1.3.8/xom-1.3.8.pom
6条答案
按热度按时间gtlvzcf81#
你能发一个关于xom的问题吗?我们无法控制它,基本上没有机会尝试移除它......
2022年3月30日星期三晚上11:55,Sandeep Kulkarni ***@***.***>写道:Xerces是一个通过xom进入CoreNLP的传递依赖。它有一个漏洞CVE-2022-23437 < https://github.com/advisories/GHSA-h65f-jvqw-m9fj >,需要升级到2.12.2版本。我可以看到xom没有新版本可以升级到这个日期的Xerces。——直接回复此电子邮件,查看GitHub上的<#1264>,或取消订阅< https://github.com/notifications/unsubscribe-auth/AA2AYWJ63KZEHIV75CQIMN3VCVD5JANCNFSM5SELEJ4Q >。你收到这封邮件是因为你订阅了这个线程。消息ID: ***@***.***>
2wnc66cl2#
是的,我也做过那个:elharo/xom#175
x0fgdtte3#
xerces实际上并不在我们发布的版本中,或者在我们的pom文件中,对吗?除了替换xom,我们完全无法做任何事情来影响这个。如果xom被更新了而我们没有注意到,请随时联系我们,我们会进行更新。
inkz8wg94#
Xom已经更新到1.3.8版本。
并且xalan已经被设置为可选。
xalan的值为vuln CVE-2022-34169。
jc3wubiy5#
谢谢,我们可以尝试一下:
3ded6f0
jdzmm42g6#
@VishalGokhale 显然maven仍然从xom导入xalan。查看xom的pom文件,我看不到任何理由相信xalan是可选的:
https://repo1.maven.org/maven2/xom/xom/1.3.8/xom-1.3.8.pom