产品分类: uniapp/App
PC开发环境操作系统: Windows
PC开发环境操作系统版本号: 26100.6899
HBuilderX类型: 正式
HBuilderX版本号: 4.76
手机系统: Android
手机系统版本号: Android 12
手机厂商: 所有手机
手机机型: 所有手机
页面类型: vue
vue版本: vue3
打包方式: 离线
项目创建方式: HBuilderX
可以下载官方提供的离线SDK,用android studio可查看uniapp-v8-release.aar引用了libweexjss.so,可参考上面的附件图片。
Select-String -Path "libweexjss.so" -Pattern "1.2.[0-9]|[0-9].[0-9].[0-9]" | Select-Object -First 10
可以查看到
@ deflate 1.2.11 Copyright 1995-2017 Jean-loup Gailly
inflate 1.2.11 Copyright 1995-2017 Mark Adler
说明 libweexjss.so 里直接包含了 zlib 的代码和符号信息,是 静态编译进 .so 里面的。
升级zlib的版本到1.3.1(无高危漏洞版本)
当前是有高危漏洞版本1.2.11
我们的app在jFrog检测报告中,检测到了libweexjss.so引用了zlib1.2.11版本(该版本有CVE的漏洞),经排查这个库是在uniapp-v8-release.aar中引用的,这里都是引用的静态库,只能求助uni-app升级一下,报告中建议升级到1.3.1版本,官方能帮升一下这个库吗?看到其他的人也有遇到过这个问题,如果给libweexjss.so加固的话,会白屏,我以及已经试过了,而且uni-app官方的加固也是说不要给这个so加固。
https://ask.dcloud.net.cn/question/205378
https://ask.dcloud.net.cn/question/208664
DCloud 即数字天堂(北京)网络技术有限公司是W3C成员及HTML5中国产业联盟发起单位
京ICP备12046007号-4 | 京公网安备:11010802035340号 | 国家信息安全等级保护三级,证书编号:11010813802-20001
