漏洞概述请参考:http://blog.nsfocus.net/cve-2021-25329/
原先springboot使用内嵌tomcat版本为:8.5.40,有两种方式可以查看:
1.可以从IDEA的右侧maven查看(8.5.63为已经升级后的版本):
2.启动服务会有日志(8.5.63为升级后的版本)
解决方法:
1.再pom.xml文件中添加tomcat版本
<properties> <tomcat.version>8.5.63</tomcat.version> </properties>
添加完之后可能有很多报错,比如某些类所在的的包已经找不到。则进入下面第2步。
2.添加依赖
<dependency> <groupId>org.apache.tomcat.embed</groupId> <artifactId>tomcat-embed-core</artifactId> <version>${tomcat.version}</version> </dependency> <dependency> <groupId>org.apache.tomcat</groupId> <artifactId>tomcat-juli</artifactId> <version>${tomcat.version}</version> </dependency>
<!-- 版本8.5.63不存在--> <dependency> <groupId>org.apache.tomcat.embed</groupId> <artifactId>tomcat-embed-logging-juli</artifactId> <version>7.0.109</version> </dependency>