@[Toc]( Eclipse Jetty Server 安全漏洞(CVE-2017-7658) )
1、 问题:
最近给一个客户部署项目,但是客户的安全稽核有点变态。 居然说 Eclipse Jetty Server 高危漏洞!
直接把修复建议都给出了,那好参照建议链接:
2、分析
然后回到工程项目,看了下我们的项目的jetty 版本是 9.4.10.v20180503
. 确认是撞上了客户的安全稽核了。
于是,查询项目哪个地方引用了 Eclipse Jetty Server。 在一个 job-center-core 的jar 包有引用。 里面修改里面的jetty 版本。
再引入到工程,然则无奈,不生效。 MOBI 缘故?
拿一个空的工程,添加 job-center-core 依赖,显示 Eclipse Jetty Server 正确。 但是,添加到 我自己的目标工程,依然是 9.4.10.v20180503
.
综合分析所得, jetty 在自己的spring-boot 工程一定有其他地方依赖,影响了 job-center-core 包的传递依赖版本。