Spring Boot因CVE-2023-20883从2.3升级到2.7.18的过程

于 2024-08-30 16:57:36 发布
阅读量379 收藏 3
点赞数 5
分类专栏: java 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangChaoNo1/article/details/141720045
版权

升级背景

因Spring Boot2.3.12存在CVE-2023-20883
安全漏洞,故决定对项目的Spring Boot版本进行升级来解决该问题。

而该漏洞在 Spring Boot 版本 3.0.0 - 3.0.6、2.7.0 - 2.7.11、2.6.0 - 2.6.14、2.5.0 - 2.5.14 和更早的不受支持的版本中,如果 Spring MVC 与反向代理缓存一起使用,则可能会发生拒绝服务 (DoS) 攻击。

升级注意事项

  1. 确定版本号
  2. 确定依赖的传递方式

本次升级我确定升级为2.7.18版本,且因依赖的传递方式决定从tree的根部节点开始升级,另一种方式可以考虑在子项目进行排除覆盖直接升级。

升级过程

  1. 修改pom中Spring Boot的版本号
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.18</version>
        <relativePath />
    </parent>
  1. 刷新pom进行编译后发现mysql依赖报错,在Spring Boot2.7.8开始,mysql链接包进行了移动,修改mysql依赖为第二个方式
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>com.mysql</groupId>
            <artifactId>mysql-connector-j</artifactId>
            <scope>runtime</scope>
        </dependency>
  1. 修改pom文件中读取本地lib的方式
    在这里插入图片描述
  2. 修改pom文件中finalName的设置格式
    在这里插入图片描述

遇到的问题

在项目编译和启动阶段遇到的问题

  1. 如果在项目中自定义了错误处理,实现了ErrorController.getErrorPath方法,在2.5.3后Spring Boot不再支持该方法,需要修改处理逻辑代码。
package org.springframework.boot.web.servlet.error;

public interface ErrorController {
}
  1. junit版本不兼容问题,如果在项目中使用junit4或者更早版本junit3,则需要修改依赖关系,因为在2.7.18中支持最低junit版本是junit5
    在这里插入图片描述
  2. 在项目启动过程中出现循环依赖问题,因为在2.6以后Spring Boot默认不允许bean的循环引用,故增加配置允许循环引用,当然还有别的处理方式,请自行查询循环依赖和其他方式
spring.main.allow-circular-references:true
  1. 在项目中如果有进行对request路由进行过滤处理的逻辑,需要注意RequestMappingInfo.getPatternsCondition().getPatterns()已经不适用了,很容易在获取RequestCondition报空指针异常,那么在2.7.18中还有一个方法getPathPatternsCondition()也可以获取到路由,如果是想获取RequestCondition对象那么还有getActivePatternsCondition()进行获取,这个问题是在2.6.0以前和以后策略不同所造成的。当然还有其他方式可以简单解决。
    增加配置将策略改回2.6前的方式,该配置在springboot3.X中部分版本还适用
spring:
  mvc:
    pathmatch:
      matching-strategy: ant_path_matcher
  1. 在项目启动时出现NoClassDefFoundError报错,报错位置在启动类
    注意该报错和ClassNotFoundException是两码事
    经检查在我的项目在多项目依赖过程中,修改了<spring-framework.version>5.2.24.RELEASE</spring-framework.version>
    **原因:**可以看见我的项目是使用<parent>标签继承了spring-boot-starter-parent进行版本升级的,在spring-boot-starter-parent中我们可以看见又继承了spring-boot-dependencies,而在spring-boot-dependencies中我们可以发现
    在这里插入图片描述
    我项目中修改的版本和2.7.18兼容的最低版本相差甚远
    注释掉我声明的spring-framework后编译启动成功。
YangChaoNo1
关注
专栏目录
SpringCloud 微服务集群升级记录(1.5.x-2.7.18
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
12-01 1998
前段时间,因项目被扫出大量漏洞,全是因为依赖版本过低,存在高中危漏洞需要升级。正好本来也有规划集群升级,因为工作量大迟迟落实不了,正好有这次修漏洞的机会,升级微服务集群。这篇文章主要记录了本人的升级记录,遇到的问题解决方法,仅供参考。
springboot艰难版本升级之路!! springboot 2.3.x版本升级2.7.x版本
longtime的博客
08-16 3651
springboot版本升级.
【微服务】Spring Boot 版本升级2.7.18
记录开发学习笔记
03-21 5765
Spring Boot 版本依赖升级
springboot2.2.5.RELEASE升级2.7.18及对应springCloud升级
w0014019862的博客
04-11 3693
Spring Cloud 2020 版本开始,Spring Cloud 完全弃用了 Ribbon,使用 Spring Cloud Loadbalancer 作为客户端的负载均衡组件。解决 nested exception is java.lang.AbstractMethodError: org.springframework.cloud.netflix.ribbon。在进行Spring BootSpring Cloud的版本升级时,确保兼容性和安全性是非常重要的。
CVE-2023-20883 拒绝服务攻击
wcy1900353090的博客
09-07 2776
Spring Boot版本3.0.0-3.0.6、2.7.0-2.7.11、2.6.0-2.6.14、2.5.0-2.5.14和不受支持的旧版本中,如果将Spring MVC与反向代理缓存一起使用,则可能会发生拒绝服务(DoS)攻击Spring Boot 3.0.x版本:3.0.0 - 3.0.6Spring Boot 2.7.x版本:2.7.0 - 2.7.11Spring Boot 2.6.x版本:2.6.0 - 2.6.14Spring Boot 2.5.x版本:2.5.0 - 2.5.14。
SpringBoot升级2.7.18后不兼容的地方
xsgnzb的专栏
01-14 5514
最近为了给kafka加性能指标采集功能,调研后发现spring-kafka在2.3版本之后就自带了Micrometer指标采集功能。但是当前项目的spring-boot版本是2.0.2.RELEASE,对应的spring-kafka版本是2.1.6.RELEASE,所以准备将spring-boot版本升级2.7.18,这是2.x系列的最高版本,对应的spring-kafka版本是2.8.11。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
Citrix ADC(CVE-2023-3519)版本升级
07-27
总的来说,这个Citrix ADC的版本升级包旨在修复CVE-2023-3519安全漏洞,通过提供多个固件版本的更新,适用于不同环境的设备。同时,证书文件的更新确保了系统在通信时的安全性和信任链的完整。为了保护您的 Citrix ...
SpringBoot 2.3--2.7版本更新汇总
热门推荐
没有简介
06-24 1万+
1、最低要求变更Gradle 6.3+(如果您使用 Gradle 构建)。Jetty 9.4.22+(如果您使用 Jetty 作为嵌入式容器)2、jdk支持添加了对 Java 14 的支持。也支持 Java 8 和 11。3、ElasticSearchNative Elasticsearch transport 已被删除,默认使用Elasticsearch 7.5+。4、MongoDB切换到mongodb4,并适配 reactive 和 imperative drivers。如果你使用 `spring-bo
springboot2.3升级2.7.3相关调整
草宝虫的博客
01-15 1865
springboot2.3升级2.7.3相关调整,涉及基础包、单元测试、redis、swagger、mongo
springboot2.3.2 升级springboot2.7.2错误记录
kisslongge00的博客
04-10 919
微服务组件升级后的版本2.7.2。
springboot2.3.7升级springboot2.7.2
band_mmbx的博客
08-20 2187
总体升级来讲的话,还是要参考官方的相关升级文档。个人建议如果没有对应的经验,最好不要一下跨度太大,可以小版本的来处理下。这样的话中间的变动会比较小,出现问题处理起来也会快的多。欢迎关注我的公众号:敲代码的老贾,回复“领取”赠送《Java面试》资料,阿里,腾讯,字节,美团,饿了么等大厂。
漏洞通告 | Spring Cloud Function 拒绝服务漏洞;微软6月多个安全漏洞
zz_tech的博客
06-17 1355
Spring Cloud Function 拒绝服务漏洞;微软6月多个安全漏洞
springboot 项目升级 2.7.16 踩坑
wow~
11-08 1805
你以为完了 不不 它又出问题了 升级到3.0 本地运行没有一点问题 但是一打包到线上运行就报错mapstruct 转换异常 什么swagger-2.0的错误 我就纳闷了我用的是3.0啊 咋报2.0的错误 千搜万搜 找了一堆没有用的解释文章 后面在一个github的评论区看到一老哥说 运行时和编译时依赖不一样。这里最初是最初是升级到 2.5.7 偷了个懒 这个版本的兼容性比较强 就选了这版本 也不用去修改就手动的去换了一下RabbitMQ的依赖 因为这边项目有AMQP 风险预警。这里 着重就是改了一个。
关于springBoot2.3.12版本更新报javax.persistence.TransactionRequiredException异常问题处理
敬业丨小爷
12-02 991
项目springBoot升级2.3.12时,发现在跑单元测试、feature用例报javax.persistence.TransactionRequiredException相关异常。配置文件中手动添加:spring.jpa.properties.hibernate.allow_update_update_outside_transaction=true。升级后此处将原有的配置判断去掉了,只保留了!isTransactionInprogress(),那么在update/delete时需要手动添加事务。
spring boot CVE-2024-22243 漏洞 升级spring boot
最新发布
06-01
升级Spring Boot的方法很简单,只需将项目中的Spring Boot相关依赖项更新到最新版本即可。您可以参考Spring Boot官方文档或者相关社区的升级指南来进行操作。另外,为了确保您的应用程序安全,建议您定期关注安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值