snakeyaml从1.x升级2.x的方案

最新推荐文章于 2025-03-21 21:01:18 发布
最新推荐文章于 2025-03-21 21:01:18 发布
阅读量6.9k 收藏 29
点赞数 12
文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h_and_g/article/details/139965486
版权

一、背景

因公司漏洞扫描,发现SnakeYAML 反序列化漏洞(CVE-2022-1471),所以要求对SnakYaml进行升级。

因项目中未直接引用snakyaml包,经分析是springboot引用的这个包。但是在这个项目中,springboot用的版本是2.3.12.RELEASE版本。这个版本引用的snakyaml的版本是1.26版本。

二、修复方案

基于上面的背景,对snakyaml升级有两种方案。

2.1 方案一:直接升级springboot

如果可以直接升级springboot,升级到里面snakyaml里面是2.*版本的一个版本即可。

因为对snakyaml只有2.*版本才没有漏洞。参加下图:

如果想详细查看,请参考如下路径:

 https://mvnrepository.com/artifact/org.yaml/snakeyaml

2.2 方案二:升级snakyaml到2.0

 

但是如果你将springboot低版本的snakyaml排查掉,直接引用新包的话,启动项目会报错。

如下方式:

 

<dependency>
	<groupId>com.baomidou</groupId>
	<artifactId>mybatis-plus-boot-starter</artifactId>
	<version>${mybatis-plus.version}</version>
	<exclusions>
		<exclusion>
    		<groupId>org.yaml</groupId>
	    	<artifactId>snakeyaml</artifactId>
		</exclusion>
	</exclusions>
</dependency>

<dependency>
	<groupId>org.yaml</groupId>
	<artifactId>snakeyaml</artifactId>
	<version>2.0</version>
</dependency>

启动项目会报错误,错误信息如下:

java.lang.NoSuchMethodError: org.yaml.snakeyaml.constructor.Constructor: method <init>()V not found

java.lang.NoSuchMethodError: org.yaml.snakeyaml.representer.Representer: method <init>()V not found

报错的原因是:

snakeyaml 2.x版本去掉了Constructor和Representer两个类中的无参构造,但springBootStarter2.7.10以下版本会加载这个无参构造,所以项目启动会失败。

解决方案:

重写这两个类,加上无参构造

原理:Java父子加载器,覆盖maven依赖jar包中的类。

将snakyaml源码下载到本地,修改源码,然后自己打包,项目中引用直接构建的jar即可。

源码下载地址:

https://bitbucket.org/snakeyaml/snakeyaml/src/snakeyaml-2.0/

再项目中修改这两个类,修改后的结果,分别见下图所示:

 增加标红框的两个方法,然后重新构建打包即可。

snakeyaml1.*升级snakeyaml2.*,出现的构造方法Not Found问题
wangxudongx的专栏
07-20 1862
为了解决SnakeYAML 反序列化漏洞(CVE-2022-1471),按照要求将snakeyaml1.*升级2以上。直接替换springboot 项目jar包内的依赖jar包、和在项目pom中重新build后,都出现了启动时报错“snakeyaml.constructor.*: method ‘void <init>()‘ not found”。
snakeyaml1.x升级2.x导致项目启动报错
wavelee的博客
02-29 4125
snakeyaml1.x升级2.x导致项目启动报错
snakeyaml1.30升级2.0版本遇见的坑,解决办法
zhangzhi1979815592的博客
08-21 9265
报错信息 2023-08-21 18:48:46,282 INFO [TID: N/A] [main] c.c.f.f.i.p.DefaultApplicationProvider - App ID is set to S20400009 by app.id property from System Property 2023-08-21 18:48:46,287 INFO [TID: N/A] [main] c.c.f.f.i.p.DefaultServerProvider - Environment
兼容springboot2.x 的 snakeyaml.2.2版本依赖包
11-08
因漏洞修复需要升级 snakeyaml 版本为2.0以上,由于snakeyaml.2.x 默认不兼容springboot 2.x 。此jar基于snakeyaml.2.2兼容springboot2.x 的 snakeyaml版本依赖包。
52-Java 开发者必知:SnakeYaml 反序列化与 SpringBoot 打包部署全攻略
最新发布
m0_70346880的博客
03-21 715
摘錄小迪安全
snakeyaml-1.29-API文档-中文版.zip
05-05
赠送jar包:snakeyaml-1.29.jar; 赠送原API文档:snakeyaml-1.29-javadoc.jar; 赠送源代码:snakeyaml-1.29-sources.jar; 赠送Maven依赖信息文件:snakeyaml-1.29.pom; 包含翻译后的API文档:snakeyaml-1.29-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.yaml:snakeyaml:1.29; 标签:snakeyaml、yaml、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
解决snakeyaml升级2.0版本导致程序启动失败:NoSuchMethodError: org.yaml.snakeyaml.representer.Representer
weixin_52116015的博客
05-23 5419
解决snakeyaml升级2.0版本导致程序启动失败:java.lang.NoSuchMethodError: org.yaml.snakeyaml.representer.Representer: method ()V not found
springboot项目升级snakeyaml2.x
qq_14865079的博客
02-19 1794
升级后启动项目报错 Caused by: java.lang.NoSuchMethodError: org.yaml.snakeyaml.representer.Representer: method ()V not found。解决办法: 升级springboot版本到2.7.10以上。
snakeyaml升级2.0及深入解析Java类加载机制的思考
qq_45086377的博客
07-26 2188
双亲委派模型:类加载请求首先由父加载器处理,一直到 Bootstrap ClassLoader。类路径顺序:在类路径中配置多个路径时,Application ClassLoader 会按照顺序查找类文件。找到匹配类文件后立即加载,不会继续查找后续路径。覆盖机制:通过在类路径中优先放置自定义类路径,可以覆盖原有 jar 文件中的类。
snakeyaml升级2.2版本之NoSuchMethodError问题解决
sjy_2010的专栏
01-30 8555
snakeyaml升级2.2版本之NoSuchMethodError问题解决
snakeyaml安全漏洞,需升级snakeyaml2.0及以上版本
qq_37202188的博客
01-15 1万+
snakeyaml安全漏洞,升级snakeyaml2.0及以上版本
snakeyaml升级2.x重写类源文件】
02-29
snakeyaml升级2.x重写类源文件
snakeyaml-1.27.jar
12-10
snakeyaml-1.27.jar
snakeyaml-1.24.jar中文-英文对照文档.zip
03-03
注:下文中的 *** 代表文件名中的组件名称。 # 包含: 中文-英文对照文档:【***-javadoc-API文档-中文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 Maven依赖:【***.jar Maven依赖信息(可用于项目pom.xml).txt】 Gradle依赖:【***.jar Gradle依赖信息(可用于项目build.gradle).txt】 源代码下载地址:【***-sources.jar下载地址(官方地址+国内镜像地址).txt】 # 本文件关键字: 中文-英文对照文档,中英对照文档,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压 【***.jar中文文档.zip】,再解压其中的 【***-javadoc-API文档-中文(简体)版.zip】,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·本文档为双语同时展示,一行原文、一行译文,可逐行对照,避免了原文/译文来回切换的麻烦; ·有原文可参照,不再担心翻译偏差误导; ·边学技术、边学英语。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
YAML解析器 SnakeYAML.7z
07-06
YAML解析器 SnakeYAML.7z
解决snakeyaml升级2.0版本启动报错的实践经验总结
qq_33892640的博客
03-05 1万+
然而,改完之后启动项目会出现:java.lang.NoSuchMethodError: org.yaml.snakeyaml.representer.Representer: method ()V not found 的报错。3. 由于 idea 反编译的源码会自动添加上一些强制类型转换和创建一些新的对象,导致报错,根据 idea 的提示删掉或修改即可。1. 在自己项目的 src/main/java 的路径下,建立org.yaml.snakeyaml.representer包。
snakeyaml升级2.0版本遇见的坑,解决办法
热门推荐
weixin_44981472的博客
07-26 1万+
原因是因为Representer类的无参构成方法移出了,但是我们的springboot版本还在加载无参构造导致的报错。重写org.yaml.snakeyaml.representer包下的Representer类,增加无参构造方法。增加红框中的无参构造方法。
snakeyaml升级2.0之后支持yml使用!!的方案
youxian_kunhuo的博客
01-05 439
2、问题,生产环境存在配置文件使用全局tag,但是又需要升级snakeyaml2.0snakeyaml升级2.0之后不再支持全局tag。生产已经存在的配置文件带有全局tag。③待读取配置文件 conf.yml。
snakeyaml最新版本
11-06
蛇皮YAML(SnakeYAML)的最新稳定版可以通过Maven依赖指定,如你在引用[1]中提到的,要升级2.2版本,可以这样添加到你的`pom.xml`文件中: ```xml <dependency> <groupId>org.yaml</groupId> <artifactId>snakeyaml</artifactId> <version>2.2</version> </dependency> ``` 然而,由于引用[2]指出,从2.0版本开始,SnakeYAML移除了无参构造器,这可能导致与某些依赖冲突,比如ShardingJDBC。如果你遇到`NoSuchMethodError`,可能需要检查是否有其他依赖库仍然期望旧版本的行为。解决方案可能包括: 1. **降级到支持无参构造器的SnakeYAML版本**:如果允许,可以考虑回退到某个早期版本,比如1.x系列,以避免此错误。 2. **修改冲突依赖**:查看ShardingJDBC或其他依赖库的文档,看看它们是否提供了针对新版本SnakeYAML的兼容性解决方案,或者尝试寻找替代方案。 3. **创建定制的构造器**:如果无法调整依赖,可能需要创建自定义的`Constructor`子类,重写缺失的方法,但这是一个更复杂的选择,通常仅限于特定场景。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

h_and_g

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值