补丁供应链案例:CVE-2024-7254. Protobuf. Google
查看 github advisories 列表 github.com/advisories/GHSA,定位到 patch 的 java 版本是 3.25.5,打开到 25.x 分支。事后发现相关修复最早出现在 2024 年 7月,merge 到 25.x 分支是 9 月 19,与 advisories 的时间引证。
这个库的 issue 和 comment 里没有直接写 cve 编号,不太好找相关的 pr 和 commit,在网上搜到了一篇博客Understanding CVE-2024-7254,提到了问题来自 DiscardUnknownFieldsParser 这个 parser,并在 reference 里给了个 commit 的 link cc8b34。
从链接点过去,commit 里面的符号涉及到 recurse 之类的文字,看起来像那么回事,然后又翻了翻这个分支 7 月到 9 月的几个 commit,发现在 #18387 的 pr 里 cherry pick 了这个 commit,pick 的时间是 9.19,感觉对了
关于 protobuf 的多语言 API
粗略看了下,按照 Ruby 的 readme,似乎有至少两个 core。CRuby 调用 C 的实现,jRuby 调用 Java 的实现。
java, kotlin, jruby 这组应该是调用的同一份底层库。他们在一个 repo 下面, kotlin 和 java 源码在同一个路径下,官方描述 kotlin 是 build on top of java;jRuby 在另一个路径下面,readme 描述是一个插件,感觉是不涉及底层实现,通过 JRuby生成衔接部分的 Ruby API