uni-app uniapp-v8-release.aar引用了libweexjss.so中又引用了有漏洞的zlib库版本
uni-app uniapp-v8-release.aar引用了libweexjss.so中又引用了有漏洞的zlib库版本
| 项目属性 | 信息 |
|---|---|
| 产品分类 | uniapp/App |
| PC开发环境操作系统 | Windows |
| PC开发环境操作系统版本号 | 26100.6899 |
| HBuilderX类型 | 正式 |
| HBuilderX版本号 | 4.76 |
| 手机系统 | Android |
| 手机系统版本号 | Android 12 |
| 手机厂商 | 所有手机 |
| 手机机型 | 所有手机 |
| 页面类型 | vue |
| vue版本 | vue3 |
| 打包方式 | 离线 |
| 项目创建方式 | HBuilderX |
操作步骤:
可以下载官方提供的离线SDK,用android studio可查看uniapp-v8-release.aar引用了libweexjss.so,可参考上面的附件图片。
Select-String -Path “libweexjss.so” -Pattern “1.2.[0-9]|[0-9].[0-9].[0-9]” | Select-Object -First 10
可以查看到
@ deflate 1.2.11 Copyright 1995-2017 Jean-loup Gailly inflate 1.2.11 Copyright 1995-2017 Mark Adler
说明 libweexjss.so 里直接包含了 zlib 的代码和符号信息,是 静态编译进 .so 里面的。
### 预期结果:
升级zlib的版本到1.3.1(无高危漏洞版本)
### 实际结果:
当前是有高危漏洞版本1.2.11
### bug描述:
我们的app在jFrog检测报告中,检测到了libweexjss.so引用了zlib1.2.11版本(该版本有CVE的漏洞),经排查这个库是在uniapp-v8-release.aar中引用的,这里都是引用的静态库,只能求助uni-app升级一下,报告中建议升级到1.3.1版本,官方能帮升一下这个库吗?看到其他的人也有遇到过这个问题,如果给libweexjss.so加固的话,会白屏,我以及已经试过了,而且uni-app官方的加固也是说不要给这个so加固。
https://ask.dcloud.net.cn/question/205378
https://ask.dcloud.net.cn/question/208664
更多关于uni-app uniapp-v8-release.aar引用了libweexjss.so中又引用了有漏洞的zlib库版本的实战教程也可以访问 https://www.itying.com/category-93-b0.html
