Сканирование Prisma openjdk17, проблема CVE-2022-45146 Bouncy Castle 1.0.2.3 1.0.2.4 ⇐ JAVA

[Anonymous]

Сканирование Prisma выявило уязвимости, как показано ниже. Пробовал весь последний образ docker openjdk17, но так и не смог его исправить.

Код: Выделить всё

"vulnerabilities": [
{
"id": "CVE-2022-45146",
"status": "fixed in 1.0.2.4",
"cvss": 5.5,
"vector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N",
"description": "An issue was discovered in the FIPS Java API of Bouncy Castle BC-FJA before 1.0.2.4. Changes to the JVM garbage collector in Java 13 and later trigger an issue in the BC-FJA FIPS modules where it is possible for temporary keys used by the module to be zeroed out while still in use by the module, resulting in errors or potential information loss. NOTE: FIPS compliant users are unaffected because the FIPS certification is only for Java 7, 8, and 11.",
"severity": "medium",
"packageName": "java",
"packageVersion": "17.0.9",
"link": "https://nvd.nist.gov/vuln/detail/CVE-2022-45146",
"riskFactors": [
"Attack complexity: low",
"Exploit exists - POC",
"Has fix",
"Medium severity"
],
"impactedVersions": [
"\u003e=13.0.0"
],
"publishedDate": "2022-11-21T12:30:17Z",
"discoveredDate": "2024-01-19T13:40:13Z",
"fixDate": "2023-12-15T11:55:32Z",
"layerTime": "2024-01-17T04:39:42Z",
"packagePath": "/usr/lib/jvm/zulu17-ca-amd64/bin/java",
"layerInstruction": "RUN |2 ZULU_REPO_VER=1.0.0-3 ZULU_REPO_SHA256=d08d9610c093b0954c6b278ecc628736e303634331641142fa5096396201f49c /bin/sh -c apt-get -qq update \u0026\u0026     apt-get -qq -y --no-install-recommends install gnupg software-properties-common locales curl tzdata \u0026\u0026     echo \"en_US.UTF-8 UTF-8\" \u003e\u003e /etc/locale.gen \u0026\u0026     locale-gen en_US.UTF-8 \u0026\u0026     apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 0xB1998361219BD9C9 \u0026\u0026     curl -sLO https://cdn.azul.com/zulu/bin/zulu-repo_${ZULU_REPO_VER}_all.deb \u0026\u0026     echo \"${ZULU_REPO_SHA256} zulu-repo_${ZULU_REPO_VER}_all.deb\" | sha256sum --strict --check - \u0026\u0026     dpkg -i zulu-repo_${ZULU_REPO_VER}_all.deb \u0026\u0026     apt-get -qq update \u0026\u0026     echo \"Package: zulu17-*\\nPin: version 17.0.9-*\\nPin-Priority: 1001\" \u003e /etc/apt/preferences \u0026\u0026     apt-get -qq -y --no-install-recommends install zulu17-jre-headless=17.0.9-* \u0026\u0026     apt-get -qq -y purge --auto-remove gnupg software-properties-common curl \u0026\u0026     rm -rf /var/lib/apt/lists/* zulu-repo_${ZULU_REPO_VER}_all.deb # buildkit"
}
]

Кто-нибудь знает, как это исправить? Я предполагаю, что это проблема jdk?
Попробовал несколько образов докера openjdk17, все еще имею ту же ошибку, а также пытался добавить эту зависимость в pom-файл.

Код: Выделить всё

        
org.bouncycastle
bctls-jdk15to18
1.77
runtime



org.bouncycastle
bctls-fips
1.0.18



org.bouncycastle
bc-fips
1.0.2.4

Ниже приведен используемый в настоящее время образ докера openjdk17.

Код: Выделить всё

FROM azul/zulu-openjdk-debian:17-jre-headless-latest

Обновление
Мы сообщили об этой проблеме в github, но до сих пор не существует подходящего решения, решение они не работают.
Для информации
Ссылка на Github о проблеме

Подробнее здесь: https://stackoverflow.com/questions/777 ... -3-1-0-2-4