Spring Boot因CVE-2023-20883从2.3升级到2.7.18的过程

最新推荐文章于 2025-03-10 16:59:25 发布
最新推荐文章于 2025-03-10 16:59:25 发布
阅读量912 收藏 3
点赞数 5
分类专栏: java 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangChaoNo1/article/details/141720045
版权

升级背景

因Spring Boot2.3.12存在CVE-2023-20883
安全漏洞,故决定对项目的Spring Boot版本进行升级来解决该问题。

而该漏洞在 Spring Boot 版本 3.0.0 - 3.0.6、2.7.0 - 2.7.11、2.6.0 - 2.6.14、2.5.0 - 2.5.14 和更早的不受支持的版本中,如果 Spring MVC 与反向代理缓存一起使用,则可能会发生拒绝服务 (DoS) 攻击。

升级注意事项

  1. 确定版本号
  2. 确定依赖的传递方式

本次升级我确定升级为2.7.18版本,且因依赖的传递方式决定从tree的根部节点开始升级,另一种方式可以考虑在子项目进行排除覆盖直接升级。

升级过程

  1. 修改pom中Spring Boot的版本号
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.18</version>
        <relativePath />
    </parent>
  1. 刷新pom进行编译后发现mysql依赖报错,在Spring Boot2.7.8开始,mysql链接包进行了移动,修改mysql依赖为第二个方式
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>com.mysql</groupId>
            <artifactId>mysql-connector-j</artifactId>
            <scope>runtime</scope>
        </dependency>
  1. 修改pom文件中读取本地lib的方式
    在这里插入图片描述
  2. 修改pom文件中finalName的设置格式
    在这里插入图片描述

遇到的问题

在项目编译和启动阶段遇到的问题

  1. 如果在项目中自定义了错误处理,实现了ErrorController.getErrorPath方法,在2.5.3后Spring Boot不再支持该方法,需要修改处理逻辑代码。
package org.springframework.boot.web.servlet.error;

public interface ErrorController {
}
  1. junit版本不兼容问题,如果在项目中使用junit4或者更早版本junit3,则需要修改依赖关系,因为在2.7.18中支持最低junit版本是junit5
    在这里插入图片描述
  2. 在项目启动过程中出现循环依赖问题,因为在2.6以后Spring Boot默认不允许bean的循环引用,故增加配置允许循环引用,当然还有别的处理方式,请自行查询循环依赖和其他方式
spring.main.allow-circular-references:true
  1. 在项目中如果有进行对request路由进行过滤处理的逻辑,需要注意RequestMappingInfo.getPatternsCondition().getPatterns()已经不适用了,很容易在获取RequestCondition报空指针异常,那么在2.7.18中还有一个方法getPathPatternsCondition()也可以获取到路由,如果是想获取RequestCondition对象那么还有getActivePatternsCondition()进行获取,这个问题是在2.6.0以前和以后策略不同所造成的。当然还有其他方式可以简单解决。
    增加配置将策略改回2.6前的方式,该配置在springboot3.X中部分版本还适用
spring:
  mvc:
    pathmatch:
      matching-strategy: ant_path_matcher
  1. 在项目启动时出现NoClassDefFoundError报错,报错位置在启动类
    注意该报错和ClassNotFoundException是两码事
    经检查在我的项目在多项目依赖过程中,修改了<spring-framework.version>5.2.24.RELEASE</spring-framework.version>
    **原因:**可以看见我的项目是使用<parent>标签继承了spring-boot-starter-parent进行版本升级的,在spring-boot-starter-parent中我们可以看见又继承了spring-boot-dependencies,而在spring-boot-dependencies中我们可以发现
    在这里插入图片描述
    我项目中修改的版本和2.7.18兼容的最低版本相差甚远
    注释掉我声明的spring-framework后编译启动成功。
漏洞通告 | Spring Cloud Function 拒绝服务漏洞;微软6月多个安全漏洞
zz_tech的博客
06-17 1467
Spring Cloud Function 拒绝服务漏洞;微软6月多个安全漏洞
Spring Boot: 2.7.x 至 2.7.18 及更旧的版本,漏洞说明
曼陀罗的博客
08-16 6673
Spring Framework 版本 5.3.0 至 5.3.38 及更早的不受支持版本中,如果应用程序评估了用户提供的 SpEL(Spring Expression Language)表达式,攻击者可以利用特制的表达式导致拒绝服务(DoS)攻击。Spring Framework: 5.3.0 至 5.3.38 及更早的版本 Spring Boot: 2.7.x 至 2.7.18 及更早的版本建议受影响版本的用户升级到以下修复版本: Spring Boot: 3) 缓解措施 建议受影响版本的用户升
Spring Boot 2.7.x 至 2.7.18 及更旧的版本,漏洞说明
m0_74824025的博客
03-10 941
Spring Framework 版本 5.3.0 至 5.3.38 及更早的不受支持版本中,如果应用程序评估了用户提供的 SpEL(Spring Expression Language)表达式,攻击者可以利用特制的表达式导致拒绝服务(DoS)攻击。
springboot艰难版本升级之路!! springboot 2.3.x版本升级2.7.x版本
longtime的博客
08-16 4376
springboot版本升级.
【微服务】Spring Boot 版本升级2.7.18
开发学习工作日志
03-21 8084
Spring Boot 版本依赖升级
CVE-2023-20883 拒绝服务攻击
wcy1900353090的博客
09-07 3171
Spring Boot版本3.0.0-3.0.6、2.7.0-2.7.11、2.6.0-2.6.14、2.5.0-2.5.14和不受支持的旧版本中,如果将Spring MVC与反向代理缓存一起使用,则可能会发生拒绝服务(DoS)攻击Spring Boot 3.0.x版本:3.0.0 - 3.0.6Spring Boot 2.7.x版本:2.7.0 - 2.7.11Spring Boot 2.6.x版本:2.6.0 - 2.6.14Spring Boot 2.5.x版本:2.5.0 - 2.5.14。
springboot2.2.5.RELEASE升级2.7.18及对应springCloud升级
w0014019862的博客
04-11 5055
Spring Cloud 2020 版本开始,Spring Cloud 完全弃用了 Ribbon,使用 Spring Cloud Loadbalancer 作为客户端的负载均衡组件。解决 nested exception is java.lang.AbstractMethodError: org.springframework.cloud.netflix.ribbon。在进行Spring BootSpring Cloud的版本升级时,确保兼容性和安全性是非常重要的。
SpringBoot 2.3--2.7版本更新汇总
热门推荐
没有简介
06-24 1万+
1、最低要求变更Gradle 6.3+(如果您使用 Gradle 构建)。Jetty 9.4.22+(如果您使用 Jetty 作为嵌入式容器)2、jdk支持添加了对 Java 14 的支持。也支持 Java 8 和 11。3、ElasticSearchNative Elasticsearch transport 已被删除,默认使用Elasticsearch 7.5+。4、MongoDB切换到mongodb4,并适配 reactive 和 imperative drivers。如果你使用 `spring-bo
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2725
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
springboot 修复 Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38816)
m0_74824534的博客
02-15 687
安全版本6.0.24 和 6.1.13springboot3.x使用的版本,springboot3.x的用户只需要将springboot升级到最新版本即可,官方已发布最新版本,如下图所示,springboot3.2以下版本已不再提供更新维护。不过,有时间的情况下最好升级到最新版本,老版本已不再维护,谁知道下一次其他漏洞什么时候会到来呢。那么针对比较老旧的项目,比如SpringMVC+JSP的老项目,升级比较困难,或者自己短时间内抽不出时间来改造的项目,我们应该怎么办,Spring官方解释如下。
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.aleks</groupId> <artifactId>demo</artifactId> <version>0.0.1-SNAPSHOT</version> <packaging>pom</packaging> <modules> <module>deploy</module> <module>module</module> </modules> <properties> <java.version>1.8</java.version> <!-- 修改版本号 --> <maven.compiler.source>1.8</maven.compiler.source> <maven.compiler.target>1.8</maven.compiler.target> </properties> <dependencyManagement> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <version>2.7.18</version> <!-- 同步版本号 --> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <version>2.7.18</version> <!-- 同步版本号 --> </dependency> <dependency> <groupId>org.junit.jupiter</groupId> <artifactId>junit-jupiter</artifactId> <version>5.8.2</version> <!-- Java 8兼容版本 --> <scope>test</scope> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.29</version> </dependency> <!-- Log4j2 API --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.20.0</version> </dependency> <!-- Log4j2 Core 实现 --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.20.0</version> </dependency> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <version>1.18.12</version> <!-- java8最新稳定版 --> <scope>provided</scope> <!-- 必须设置为provided --> </dependency> </dependencies> </dependencyManagement> </project>帮我按标准排排序 备注加一下 规范一下
最新发布
03-20
同时,需要检查每个依赖项的版本是否合理,比如Spring Boot 2.7.18是否与Java 8兼容,JUnit Jupiter 5.8.2是否适合,以及Log4j2的版本是否存在已知的安全问题。比如Log4j2 2.20.0已经修复了之前的高危漏洞,所以这里...
SpringBoot 2.3 升级SpringBoot 2.7 爬坑-- SpringDoc & Swagger (支持 SpringBoot 3.X)
weixin_29526539的博客
10-24 247
目录POMyml配置自定义的 OpenAPI 规范拦截器去除 swagger 的接口验证模型Controller 配置常用注解 注意:Swagger支持SpringBoot2.0但不支持SpringBoot3.0 OpenApi OpenApi是一个用于描述、定义和共享 RESTful API 文档的规范。最新规范是 OpenAPI 3.0 Swagger Swagger 是一个用于设计和测试 ...
springboot2.3升级2.7.3相关调整
草宝虫的博客
01-15 2039
springboot2.3升级2.7.3相关调整,涉及基础包、单元测试、redis、swagger、mongo
spring boot 修复 Spring Framework URL解析不当漏洞(CVE-2024-22243
记录点滴
02-28 1万+
一开始我们尝试直接替换spring-web的版本,但是只替换这一个包的话项目启动会报错,通过实践和反复尝试,我们对spring相关的jar包都进行了覆盖,这样可以保持springboot的版本号不变。如果现有项目的大版本是3.x,直接升级即可,但是有些老项目还停留在2.x的版本,官方并没有针对2.x发布新版本,从2.x直接升级3.x,代价又比较大。其它已经不受官方支持的版本(5.1.x,5.2.x)同样受到影响,更新到受官方支持的安全版本。查看 springboot的版本,只有最新的。
SpringBoot升级2.7.18后不兼容的地方
xsgnzb的专栏
01-14 7810
最近为了给kafka加性能指标采集功能,调研后发现spring-kafka在2.3版本之后就自带了Micrometer指标采集功能。但是当前项目的spring-boot版本是2.0.2.RELEASE,对应的spring-kafka版本是2.1.6.RELEASE,所以准备将spring-boot版本升级2.7.18,这是2.x系列的最高版本,对应的spring-kafka版本是2.8.11。
springboot漏洞(Spring RCE 0day)CVE-2022-22965
GDKbb的博客
03-30 7421
一·漏洞影响排查方法 (一).JDK版本号排查 在业务系统的运行服务器上,执行“java -version”命令查看运行的JDK版本,如果版本号小于等于8,则不受漏洞影响 (二).Spring框架使用情况排查 1.如果业务系统项目以war包形式部署,按照如下步骤进行判断。 ⑴解压war包:将war文件的后缀修改成.zip ,解压zip文件 ⑵在解压缩目录下搜索是否存在 spring-beans-.jar 格式的jar文件(例如spring-beans-5.3.16.jar),如存在则说明业务系统使用了spr
SpringCloud 微服务集群升级记录(1.5.x-2.7.18
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
12-01 2206
前段时间,因项目被扫出大量漏洞,全是因为依赖版本过低,存在高中危漏洞需要升级。正好本来也有规划集群升级,因为工作量大迟迟落实不了,正好有这次修漏洞的机会,升级微服务集群。这篇文章主要记录了本人的升级记录,遇到的问题解决方法,仅供参考。
springboot2.3.7升级springboot2.7.2
band_mmbx的博客
08-20 2334
总体升级来讲的话,还是要参考官方的相关升级文档。个人建议如果没有对应的经验,最好不要一下跨度太大,可以小版本的来处理下。这样的话中间的变动会比较小,出现问题处理起来也会快的多。欢迎关注我的公众号:敲代码的老贾,回复“领取”赠送《Java面试》资料,阿里,腾讯,字节,美团,饿了么等大厂。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值