Protobuf Issues (CVE-2022-3171, CVE-2022-3510, CVE-2021-22569, CVE-2022-3509)
Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.12.1.15 gefunden:
Betroffene Produkte
| jadice web toolkit | jadice web viewer | jadice viewer (Swing) | Output Organizer | Dossier Organizer | jadice server 5 | jadice flow |
|---|---|---|---|---|---|---|---|
Betroffen | < 5.12.1.5 |
|
|
|
|
|
|
Behoben | >= 5.12.1.17 & < 5.12.16.0 |
|
|
|
|
|
|
Herkunft
Die CVEs kommen durch die Dependency protobuf-java in Version 2.5. Diese Dependency ist transitiv und landet durch gwt-servlet (alle Versionen) des Google Web Toolkit im Produkt.
Bewertung
false positive |
Nach Analyse des GWT-Quellcodes und Sichtung der entsprechenden Issues des GWT-Projekts (siehe hier und hier) werden diese CVEs als nicht relevant für das jadice web toolkit eingestuft.
Hintergrund ist, dass in gwt-servlet die entsprechenden protobuf-Klassen nur im "dev"-package verwendet werden, die Klassen werden also nur bei aktivem Dev-Mode zur Entwicklungszeit verwendet.
Abhilfe
Migration auf jadice web toolkit >= 5.12.1.17 (verfügbar seit 02/2023) < 5.12.16.0