Hibernate ORM版本5.6.5.Final现已发布,提高了与H2最新版本的兼容性。
H2升级选项
非常流行的开发工具和测试目标H2数据库最近因CVE-2022-23221而被标记。
尽管您可能没有在生产环境中运行H2,或者很可能没有以有漏洞的配置运行它,但我们理解升级可能是您希望的。
获取不受此漏洞影响的版本意味着将H2升级到版本2.1.210,不幸的是,到目前为止,这个版本与Hibernate ORM配合不佳,因为我们一直在使用H2版本'1.4.197'。
H2项目不遵循语义版本控制规范,并且经常在各个“微”版本中包含破坏性变更。
任何项目都有权选择适合自己的发布版本控制策略,但正因为如此,您可能会理解Hibernate团队没有定期升级H2版本:有时这很容易,有时这需要我们进行大量工作,对用户造成破坏性变更。因此,我们有时可能更愿意支持这样的组件滞后,尤其是在没有强烈理由升级的情况下。
在Hibernate ORM的5.6.5.Final版本中,应用了几个改进,使得您可以在需要时将H2升级到这个最新版本,但请务必检查H2文档和变更日志:如果您打算升级,可能需要对您的脚本、ORM映射和H2配置进行一些修改。
与往常一样,Hibernate将简化这项工作,并可能自动执行繁重的工作,但重大的升级可能仍然需要您的关注:不要期望这是完全自动的。
升级H2是完全可选的。如果您对当前版本感到满意,并且对此CVE不关心,无论是您只将H2用于测试还是因为您在生产环境中未启用H2控制台,您都可以继续使用Hibernate ORM此版本中的较旧版本的H2。
获取5.6.5.Final,详细变更日志
所有详细信息均可在hibernate.org上的专用页面上找到,并且是最新的。
5.6.5.Final的完整变更日志。
