Spring Boot、Spring Security升级、版本选择、安全漏洞说明

已于 2022-06-09 08:44:42 修改
阅读量1.2w 收藏 18
点赞数 5
分类专栏: J2EE 文章标签: spring security spring boot
于 2022-05-26 09:57:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Duke147/article/details/124979125
版权

文章目录

一、概述

截止(2022-05-26),推荐Spring Boot 2.6.8及以上,如果使用jdk8则可以使用Spring Boot 2.5.14。

Springboot可以依据以下几点进行版本选择。

依据一:官方主维护

截止(2022-05-26)为止,Spring Boot 2.5 、2.6为官方主要维护版本。

发行说明 : https://github.com/spring-projects/spring-boot/wiki


依据二:CVE-2022-22965

0x01漏洞详情

Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。RCE(remotecommand/code exec cute),远端命令执行,相当于一个命令窗口。发生在2021年的Log4j的漏洞也有类似的状况。

0x02影响范围

  • Spring Framework < 5.3.18
  • Spring Framework < 5.2.20

0x03同时满足才会受影响

  • JDK9及以上版本
  • 使用Tomcat服务器
  • 以war部署运行
  • 使用了spring-webmvc或spring-webflux

0x04处置建议

将Springboot升级到2.6.6。


依据三:CVE-2022-22978

0x01漏洞详情

当SpringSecurity中使用RegexRequestMatcher进行权限配置,且规则中使用带点号的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

0x02影响范围

  • Spring Security 5.5.x < 5.5.7
  • Spring Security 5.6.x<5.6.4
  • SpringSecurity其他低版本同样受影响

0x03处置建议

升级到官方已发布的最新版本:
Spring Security 5.5.x升级至 5.5.7:
https://github.com/spring-projects/spring-security/releases/tag/5.5.7
Spring Security 5.6.x升级至5.6.4 ∶
https://github.com/spring-projects/spring-security/releases/tag/5.6.4

0x04参考链接

https://tanzu.vmware.com/security/cve-2022-22978

0x05版本依赖

Spring BootSpring Security是否受CVE-2022-22978影响
2.5.135.5.6
2.5.145.5.8否(可用)
2.6.55.6.2
2.6.75.6.3
2.6.85.6.5否(可用)

二、版本选择

截止(2022-05-26),推荐Spring Boot 2.6.8及以上,如果使用jdk8则可以使用Spring Boot 2.5.14。

  • 注意1: SpringBoot2.6以后需要手动设置循环引用。

    SpringBoot2.6 正式发布:循环依赖默认禁止。

    application.properties

    spring.main.allow-circular-references=true

    application.yml

    spring:
  main:
    allow-circular-references:true

  • 注意2: Spring Boot 2.5.14 版本默认 resources 为 3.2.0,编译报错,手动降低版本。

    问题:

    [ERROR] Failed to execute goal org.apache.maven.plugins:maven-resources-plugin:3.2.0:resources

    解决:pom.xml手动降低版本

    <plugin>
  <groupId>org.apache.maven.plugins</groupId>
  <artifactId>maven-resources-plugin</artifactId>
  <version>2.7</version>
</plugin>

  • 注意3: Spring Boot 2.5.14内置了netty相关依赖,如果在pom中配置了netty依赖,则会报已经包含了一个兼容版本。

    Correct the classpath of your application so that it contains a single, compatible version of io.netty.resolver.dns.DnsNameResolverBuilder

    解决:去掉pom.xml中netty依赖

码上富贵
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Boot如何使用Spring Security进行安全控制
08-30
Spring Boot 中使用 Spring Security 进行安全控制 Spring Boot 作为一个流行的 Java 框架,安全控制是其不可或缺的一部分。 Spring Security 是一个功能强大且广泛使用的安全框架,它提供了许多安全控制机制,例如...
Spring Security升级到5.7.x
qq_47993287的博客
07-21 6411
升级Spring Security到5.7.x之后需要做的事情
【网络安全】Spring框架漏洞总结(二)
qq_44005305的博客
01-06 699
Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。
springboot版本升级,及解决springsecurity漏洞问题
最新发布
喜羊羊love红太狼
05-06 1587
项目中要解决 Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) 漏洞问题,并且需要将项目的版本整体升级boot版本2.1.7,升级改造过程非常的痛苦,一方面对整个框架的代码不是很熟悉,另外对解决漏洞问题相对较少。但是明明可以用鼠标点击进去,此类问题经常是idea,什么缓存,或者是pom依赖下载不全导致,然后就陷入了这个误区,一直以为是idea的问题,然后idea缓存清理了很多次还是无法解决。此时我就怀疑可能不是idea的问题了。
简单几步升级Spring security4.x升级到5.x
YSOLA4的专栏
06-01 8925
本次升级源自一次安全漏洞提醒:项目用着spring-security4.1, 也是受到了该漏洞的影响. 知道从4.x跳到5.x这种大版本提升肯定会有不少坑, 但是安全问题不可忽视, 虽然是旧项目也要升级,还要得比较急.本着能省则省的心理, 那就先单独升级一下spring-security吧.从 升级版本, 重新 maven reimport项目, clean&compile试试. 列举几个版本不兼容的错误(吐槽下IDEA的编译错误提醒没eclipse友好, 一次编译提示一个):居然就一个Md5Pas
Spring Security 升级到 5.5.7、5.6.4 及以上启动报错出现版本不兼容解决思路
Master_Shifu_的博客
10-09 8447
修复spring-security-web:5.2.1.RELEASE版本启动报错spring版本不兼容
Spring Boot安全管理—Spring Security基本配置
m0_58815972的博客
08-19 2802
Spring Security基本配置
【安全篇】Spring Boot 整合 Spring Security 安全框架
csp732171109的博客
04-22 4095
安全框架 安全框架,简单说是对访问权限进行控制,应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。 用户授权:验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。 一般来说,系统会为不同的用户分配不同的角
详解Spring Boot 使用Spring security 集成CAS
08-30
在本篇文章中,我们将介绍如何使用 Spring Boot 集成 Spring Security 和 CAS,以实现安全的身份验证和授权。 Spring Boot 集成 Spring Security 首先,我们需要在 Spring Boot 项目中添加 Spring Security 依赖...
spring-boot spring-security-oauth2 完整demo
11-22
Spring BootSpring Security和OAuth2是Java生态系统中用于构建安全Web应用的三大利器。本篇文章将围绕“spring-boot spring-security-oauth2 完整demo”这一主题,详细阐述这三个框架如何协同工作,以及如何通过...
spring boot jpa security
05-08
Spring Boot JPA与Security是两个在Java开发领域中极为重要的技术框架,它们分别专注于数据访问和应用程序的安全管理。本文将深入探讨这两个框架的核心概念、如何整合使用以及在实际项目中的应用。 Spring Boot是由...
rest-security-demo:基于Spring BootSpring SecurityJWT的REST服务安全认证
01-29
基于Spring Boot / Spring Security / JWT的REST服务安全认证 项目介绍 预备知识 认证流程 运行演示 获取令牌 测试账号:user/123456 接口地址:http://localhost:8080/auth/ 访问需要认证的接口 接口地址:...
Java应用无响应、内存飙升、CPU飙升排查
学习笔记
07-26 5757
排查Java无响应,内存溢出等问题。
tomcat启动Java.Lang.NoClassDefFoundError: Org/Apache/Commons/Logging/LogFactory异常
学习笔记
12-09 4715
Problem: java.lang.NoClassDefFoundError: org/apache/commons/logging/LogFactory Solution: 这个是缺少commons-logging-xxx.jar包,可以在 commons-logging-xxx.jar官方下载地址: http://commons.apache.org/prop
HttpClient 出现 failed to respond 异常解决
学习笔记
07-02 3620
文章目录现象原因解决 现象 httpclient 在使用线程池时,偶尔出现 NoHttpResponseException 异常。 httpclient org.apache.http.NoHttpResponseException: host:端口 failed to respond 异常由 httpclient 抛出: httpcomponents-client/httpclient5/src/main/java/org/apache/hc/client5/http/impl/classic/Http
排除log4j依赖-处理依赖案例
学习笔记
08-02 2595
紧急通知】今日收到log4j可能有0Day漏洞报出的情报,请各单位开展以下工作1、请各单位梳理使用Log4j组件的系统和版本清单。重点排查对互联网提供服务的应用系统,一方面联系开发方梳理,另一方面利用白盒扫描工具获取准确清单。并将概要情况报送作战部。......
spring boot 2.6 spring security
11-09
Spring Boot 2.6是Spring Boot框架的最新版本Spring Security是一个基于Spring框架的安全性控制框架。 Spring Boot 2.6相比之前的版本,带来了许多新功能和改进。它提供了更好的性能和稳定性,同时也修复了一些先前版本中存在的漏洞和问题。此外,Spring Boot 2.6还增加了一些新的特性,例如对Java 17的全面支持、改进的响应式编程支持以及集成的监视和管理功能等。这些改进使得Spring Boot更易用、更强大,能够更好地满足开发人员的需求。 而Spring Security作为Spring框架的一个重要模块,主要用于实现身份验证和授权功能。它提供了强大的安全性控制机制,可用于保护Web应用程序、RESTful API和微服务等。Spring Security提供了多种认证和授权方式,包括基于传统的用户名和密码、Token认证、OAuth2、LDAP认证等。它还支持自定义的权限验证规则,使开发人员能够灵活地定义和管理用户的访问权限。 Spring SecuritySpring Boot 2.6的结合使用能够极大地简化安全性配置和集成。Spring Boot 2.6提供了对Spring Security的自动化配置,使得开发人员无需手动配置大量的安全性相关设置,而是可以通过简单的注解和配置实现安全性控制。此外,Spring Boot 2.6还提供了与其他安全性框架和技术的集成,如Spring Session、Spring Actuator和Spring Cloud Security等,使得开发人员能够更便捷地实现应用程序的认证和授权功能。 总而言之,Spring Boot 2.6和Spring Security是一对非常强大的组合。它们可以帮助开发人员快速构建安全可靠的应用程序,并提供灵活的安全性管理和配置选项。无论是开发Web应用程序还是微服务,使用Spring Boot 2.6和Spring Security都能够提供优秀的安全性支持。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码上富贵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值