扫描后我在 rhel 服务器上发现了这种类型的漏洞“(CVE-2020-2781)** 将 IBM Java 升级到版本 7.0.10.65 下载并应用升级:https://www.ibm.com/developerworks/java/jdk/""
我可以通过从存储库安装或升级 openjdk 来修复此漏洞吗?或者这需要单独的 RPM 来升级
当前 Java 版本如下 -
java -version java 版本“1.8.0_231”Java(TM) SE 运行时环境(内部版本 8.0.6.0 - pxa6480-201*_01(S**)) IBM J9 VM(版本 2.9、JRE 1.8.0 Linux amd64-64 位压缩参考 2*****_4****(启用 JIT、启用 AOT)OpenJ9 - f0b6be7 OMR - 18d8f94 IBM - 233dfb5)
答案1
我猜最近引入了一种 SAST 扫描,而您是拥有该服务器的管理员。发现表明服务器上很可能安装了多个 Java 版本,因为安装的标准版本是 Java 8,但扫描结果却是 Java 7。
要么从扫描中请求更多详细信息(如文件位置),要么自己扫描其他 java 文件。
服务器上可能已安装某个应用程序,该应用程序在安装中嵌入了其自己的 Java 版本。
另一种可能性是扫描不正确 - 我知道 SAST 扫描仪确实很糟糕,会检测到假阳性或假阳性。