jar升级解决安全漏洞 与 maven的jar包版本的依赖关系

最新推荐文章于 2024-06-05 10:13:53 发布
最新推荐文章于 2024-06-05 10:13:53 发布
阅读量2.9k 收藏 5
点赞数 1
分类专栏: mvn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h2604396739/article/details/117226741
版权

今天被告知系统存在安全漏洞,需要解决下,记录下过程。

漏洞说明

说明:mybatis 在3.5.6以下的版本存在CVE-2020-26945漏洞,所以需要进行升级
但是我们的项目是springboot项目,通过mybatis-spring-boot-starter引入的mybatis,所以就需要知道把mybatis-spring-boot-starter的版本调整到什么级别,以及和mybatis版本之间的依赖关系。

mybatis 3.5.6解决了该漏洞

但是项目是springboot项目,引入的是
 <mybatis-spring-boot.version>2.1.4</mybatis-spring-boot.version>

<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>${mybatis-spring-boot.version}</version>
</dependency>

 

maven报版本关系梳理

进入maven官网:百度搜索maven repository ,第一个进入就是,如下图:

在搜索框输入artifactId,如mybatis-spring-boot-starter

点击进入对应版本即可获取相关的依赖,如下图:

深山猿
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
小结—tomcat项目mybatis-3.2.1升级到3.5.6
weixin_46159493的博客
01-10 864
漏洞扫描报告中,要求将tomcat-7.0.40升级到7.0.108以上版本,mybatis-3.2.1升级到3.5.6以上版本
mybatis版本:3.5.6(jdk1.8(含)及以上)、3.4.6(jdk1.8以下)
11-18
两版mybatis,根据jdk版本选择使用哪一版,mybatis版本:3.5.6(jdk1.8(含)及以上)、3.4.6(jdk1.8以下)
MyBatis Plus<=3.5.6 存在 SQL 注入漏洞
最新发布
xixixixixixixi21的博客
06-05 535
收到 SQL 注入漏洞影响的版本,由于 UpdateWrapper 类未对用户可控的参数进行过滤导致存在 SQL 注入漏洞,攻击者可基于布尔盲注窃取数据库敏感信息。MyBatis Plus 属于 MyBatis 的增强工具,目的时用于简化数据库开发,并提高开发效率。
mybits3.4.5升级3.5.6带来了哪些坑?
m0_54117624的博客
11-18 2236
mybits3.4.5升级3.5.6带来了哪些坑?
jar依赖漏洞升级思路
qq_32590535的博客
06-21 2342
jar漏洞升级常见思路和处理流程
Jar升级要点经验总结
qq_16298769的博客
10-27 2171
1.由于2.7之前的坐标是阿里的groupId,其它一些jar中可能会含dubbo的依赖,需要把其它jar里的dubbo给去掉。在工作中常有一些jar因为一些原因,比如fastjson安全漏洞升级,dubbo jar因业务需要升级到更高版本jar,则需要做以下工作。2.找出jar本身更改的点。因此最直观的就是jar的坐标要升级。一般来说,可以直接比较两个jar的pom文件,看下两个jar依赖升级点。在更改jar之后,随机抽取一些功能点做测试,调接口看是否有变化。
手牵手入门Spring6整合Mybatis3.5
weixin_47268883的博客
03-02 359
手牵手入门Spring6整合Mybatis3.5
struts2.3.34依赖jar
10-29
在使用Struts2.3.34的依赖jar时,你需要确保它们与你的项目其他依赖相兼容,并正确配置你的`pom.xml`(如果你使用的是Maven)或`build.gradle`(如果你使用的是Gradle)。导入这些jar后,你可以定义Actions、...
jackson升级jar2.12.4版本
07-31
除了修复安全漏洞,Jackson-databind的每个新版本通常也会含性能优化、新特性和bug修复。因此,保持库的最新状态对于利用这些改进并保持系统的最佳运行状态至关重要。 总的来说,对于任何依赖Jackson-databind的...
mosec-maven-plugin:用于检测maven项目的第三方依赖组件是否存在安全漏洞
02-05
用于检测maven项目的第三方依赖组件是否存在安全漏洞。 该项目是基于的二次开发。 关于我们 网址: : 微信: 版本要求 Maven> = 3.1 安装 向pom.xml中添加plugin仓库(项目级安装) <!-- pom.xml --> ...
bouncycastle jar版本: jdk15to18-1.73
06-02
标题提及的"bouncycastle jar版本: jdk15to18-1.73",是指针对Java 1.5至1.8版本的Bouncy Castle库的1.73版,提供了两个jar文件:bcprov-ext-jdk15to18-1.73.jar和bcprov-jdk15to18-1.73.jar。 1. **Bouncy ...
struts2.3.35漏洞升级全部JAR
06-27
在本文中,我们将深入探讨关于“Struts2.3.35漏洞升级全部JAR”的主题,括为何升级、涉及的漏洞升级过程以及如何确认更新成功。 首先,Struts2.3.35的升级主要是为了修复已知的安全漏洞。在过去的几年里,...
fastjson jar_刚升级没多久,fastjson又漏洞了,改换jackson了
weixin_39623620的博客
11-30 449
记得年前升级过一次fastjson,版本1.2.60,安全要求用到fastjson的全部升级,结果一扫一大片,用的人还真不少。许多使用springboot整体打的同事,都是升级fastjson后重新打,上传,重新发布应用。小编所在部门相关springboot项目都进行了jar分离(参见:如何分离构建业务jar,配置文件,第三方依赖jar),升级只是替换了一个fastjson的jar...
mybatis以及spring的整合
AK774S的博客
05-10 678
JDBC:此配置使用了JDBC的提交和回滚设置 MANAGE:让容器来管理整个事务的整个生命周期。 7.mapper元素 指定mybatis映射文件的位置,一般使用以下4种引入方式。 1.类路径 resource属性 2.本地文件 url属性 3.接口类 class属性 4.名 name属性 [](()mybatis的默认别名 由于别名不区分大小写。所以不建议使用,容易出现重复定义的覆盖问题。 下面(左:别名,右:映射的类型) _byte byte .
MyBatis和Mybatis-plus以及mybatis-spring的冲突解决
纸上得来终觉浅,绝知此事要躬行
04-19 2527
最近公司底层使用出现了一些问题,导致mybatis-plus的项目启动不起来。通过排查问题最终发现是版本不一致导致的。解决问题,需要每一个细节版本都对上,这样就能完美解决问题。
11-SSM_MyBatis(上)
&再见萤火虫&的博客
01-07 1073
一,Mybatis介绍 MyBatis 本是 apache 的一个开源项目 iBatis, 2010 年这个项目由 apache software foundation 迁移到了 google code,并且改名为MyBatis 。2013 年 11 月迁移到 Github。iBATIS 一词来源于“internet”和“abatis”的组合,是一个基于 Java 的持久层框架。 iBATIS 提供的持久层框架括 SQL Maps 和 Data Access Objects(DAO)。 Myba..
记录一次生产jar漏洞修复问题
weixin_44939862的博客
01-11 649
【代码】记录一次生产jar漏洞修复问题。
springboot+mybatis踩坑记录
cyz的博客
05-08 878
踩坑记录 项目为支持枚举直接映射成数据库字段,定义了 @MappedTypes({EnumA.class}) @MappedJdbcTypes(JdbcType.CHAR) public class EnumTypeHandler <E extends Enum<E>> extends BaseTypeHandler<E> { //代码细节 } springb...
java bcprov 国密 依赖 jar 版本 升级 降级 教程
热门推荐
九二战歌的博客
12-19 1万+
关于java的国密算法原理以及sm2、sm3、sm4的演示demo,很多博主都写过。但是如果说自身项目中用到的bcprov这个依赖jar版本,和别人博客里演示的不一样,或者说引用了多个版本bcprov的jar,这种情况怎么办呢?
maven项目间如果查看jar依赖关系
05-02
maven项目中如果要查看jar依赖关系,可以通过以下几种方式实现: 1. 使用jdeps工具 JDK 8及以上版本自带了jdeps工具,可以用于分析jar依赖关系。使用方法为在终端命令行中输入以下命令: jdeps -verbose:class jar路径 其中,jar路径为需要查看依赖关系jar路径,可以通过该命令查看该jar详细的依赖关系。 2. 使用Dependency Finder工具 Dependency Finder是一个开源的Java依赖关系分析工具,可以用于非maven项目中查看jar依赖关系。使用方法为下载并安装Dependency Finder,然后通过命令行或者GUI界面导入需要分析的jar,即可查看该jar依赖关系。 3. 使用反编译工具 可以使用反编译工具(如JD-GUI)对jar进行反编译,然后通过查看反编译后的java源代码,分析各个类之间的依赖关系。这种方式虽然不够直观和准确,但对于一些小型项目来说还是比较有效的。 总的来说,以上三种方式都可以在非maven项目中用来查看jar依赖关系,选择哪种方式取决于具体情况和需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值