这篇文章是昨晚写的XStream漏洞的姊妹篇,本次腾讯云提醒的漏洞,出了fastjson的漏洞,还有这个CVE-2020-5421漏洞,也是一样的解决方案。
解决方案:
1.打开腾讯云的漏洞管理,看有哪些漏洞,再接着点击漏洞的名称,腾讯云会告诉你漏洞具体到那个jar包和相应的解决方案。
如下图,全是spring-core的jar包版本问题,我的项目是springcloud框架,所以spring的jar包也是框架自动引入的。系统是一个 老系统,弄到现在springboot的版本是1.5.12,而springboot 1.x如果要升级到2.x的版本,那么从数据库连接池,redis连接池等部分代码都得改写,还有些别的问题,所以不能贸然的修改版本。
那么解决方案不是去修改springcloud和springboot的版本,而是直接在pom文件中修改相应jar包的版本即可,框架会优先读取pom文件中的jar包版本。
mvn的依赖树如图:mvn dependency:tree
解决方案是将版本升级到4.3.29即可
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>4.3.29.RELEASE</version>
</dependency>