今天早上收到了腾讯云的短信,说系统监测到了漏洞,要去解决,登录腾讯云后,发现控制台首页的监控报警是0,最近30天的告警历史也是0,很奇怪,最后在腾讯云的文档中找到了漏洞。文档地址:腾讯云安全运营中心
漏洞如图,
解决顺序如下:
1.首先什么是XStream,我原先以为这个是系统引入的jar包,但是在pom文件中没有,没办法,在idea的Terminal中输入 mvn dependency:tree 查看项目的依赖树
再接着搜索XStream,找到了这个jar包,
往上看根目录,发现是spring-cloud-starter-eureka依赖下的子依赖。XSteam的版本又取决于spring-cloud-starter-eureka的版本。如果直接改动根依赖的版本号或许会造成其他未知影响,因此选择只修改XSream的版本。
腾讯云的告警信息中有解决方案,版本号也告诉你了,换一下即可
<dependency>
<groupId>com.thoughtworks.xstream</groupId>
<artifactId>xstream</artifactId>
<version>1.4.11.1</version>
</dependency>
顺便说下,阿里的fastjson真的是到处都是漏洞,这次又一个漏洞是因为fastjson