昨天有个朋友的公司要用 J2Cache ,然后用公司的一些工具对这个项目检测,居然发现 J2Cache 暗藏后门!!!
而且还截图给我看,如下图:
我的天啊,jansi.dll 我第一眼看到的这个名字以为是 : 监视.dll
原来是 J2Cache 使用的一个三方依赖 jline 包里包含了这个“后门”。不过大家也不用担心,因为 J2Cache 用 jline 只是一个测试小工具,用来对两级缓存进行测试的,实际作为缓存使用的时候并不会用到。
没有必要依赖这个项目,紧急发布了一个更新版本 2.8.5 ,去掉了 jline 这个依赖!
版本信息:
<dependency>
<groupId>net.oschina.j2cache</groupId>
<artifactId>j2cache-core</artifactId>
<version>2.8.5-release</version>
</dependency>
建议更新。
是我无知了,这不是后门:
已经证实这不是一个后门,而是 jline 依赖了另外一个开源项目 jansi
Jansi 是一个 Java 类库,它能够让你在控制台输出色彩缤纷的文字。
扫描二维码关注公众号,回复:
13851155 查看本文章
示例代码:
AnsiConsole.systemInstall();
AnsiConsole.out.println("Hello World");
