springboot内嵌Tomcat 安全漏洞修复

已于 2023-03-02 11:04:23 修改
阅读量3.4k 收藏 6
点赞数 3
分类专栏: 温故 文章标签: tomcat spring boot apache
于 2023-03-02 11:00:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvbang_lzt/article/details/129296394
版权

漏洞扫描提示的是tomcat-embed-core[CVE-2020-1938],解决方式是升级tomcat的版本。

该漏洞影响的版本:

Apache Tomcat 9.x < 9.0.31

Apache Tomcat 8.x < 8.5.51

Apache Tomcat 7.x < 7.0.100

Apache Tomcat 6.x

其余的安全漏洞也可以通过升级版本的方式解决,或者找对应tomcat版本的修复补丁,这里只是介绍版本升级。

问题的关键点是如何升级Springboot内嵌的tomcat版本。

1、确认内嵌tomcat的版本

通过mvn dependency:tree命令

首先进入项目的目录,一定是项目的目录,cmd窗口或者IDEA的Terminal窗口运行:

mvn dependency:tree > tree.txt

命令运行结果: 

 打开txt文本:

 PS:我这是升级版本号之后的运行结果,我之前的版本是9.0.16

2、升级版本

Springboot升级内嵌tomcat的方法是在pom.xml中添加<tomcat.version>9.0.37</tomcat.version>

<properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
		<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
		<java.version>1.8</java.version>
		<tomcat.version>9.0.37</tomcat.version>
</properties>

 这种方式只是针对Springboot项目。

也可以通过先排除后引入的方式升级:

<dependency>
			<groupId>org.springframework.cloud</groupId>
			<artifactId>spring-cloud-starter-netflix-eureka-server</artifactId>
			<exclusions>
				<exclusion>
					<groupId>org.apache.tomcat.embed</groupId>
					<artifactId>tomcat-embed-core</artifactId>
				</exclusion>
				<exclusion>
					<groupId>org.apache.tomcat.embed</groupId>
					<artifactId>tomcat-embed-el</artifactId>
				</exclusion>
				<exclusion>
					<groupId>org.apache.tomcat.embed</groupId>
					<artifactId>tomcat-embed-websocket</artifactId>
				</exclusion>
			</exclusions>
		</dependency>

		<dependency>
			<groupId>org.apache.tomcat.embed</groupId>
			<artifactId>tomcat-embed-core</artifactId>
			<version>9.0.37</version>
			<scope>compile</scope>
			<optional>true</optional>
		</dependency>
		<dependency>
			<groupId>org.apache.tomcat.embed</groupId>
			<artifactId>tomcat-embed-el</artifactId>
			<version>9.0.37</version>
			<scope>compile</scope>
			<optional>true</optional>
		</dependency>

lzh_me
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Tomcat8.5.34.0版本漏洞修复
modaner的博客
08-26 1147
5.替换tomcat相关文件 server.xml web.xml catalina.sh logs。2.停止tomcat服务,备份源tomcat文件夹只tomcat_bak目录。6.重命名apache-tomcat-8.5.79文件夹为tomcat。漏洞1:拒绝式服务漏洞 组件远程代码执行漏洞 反序列话代码执行漏洞。Tomcat8.5.34.0版本漏洞修复。漏洞2:AJP协议文件读取与包含严重漏洞。4.拷贝文件至/usr/local目录下。7.注释掉配置文件中的AJP协议。3.解压tomcat。...
springboot修改内置tomcat版本,修复Tomcat 信息泄露漏洞(CVE-2021-24122)和不安全的反序列、拒绝服务攻击等漏洞
雁来南风起,东去春归来
07-28 4244
原来自己用的springboot版本是2.1.13.RELEASE,其内置tomcat版本是9.0.31,漏洞扫描时会有如题等漏洞,并提示将Tomcat升级到8.5.56、9.0.36、10.0.0-M6及以上版本,下载地址http//archive.apache.org/dist/tomcat/2、排除spring-boot-starter-web中的内置spring-boot-starter-tomcat。我的项目结构如下,里面的web、data是两个独立的项目。...
详解springboot-修改内置tomcat版本
01-20
详解springboot-修改内置tomcat版本 1、解析Spring Boot父级依赖 org.springframework.boot spring-boot-starter-parent 1.5.6.RELEASE 这块配置就是Spring Boot父级依赖,有了这个,当前的项目就是Spring Boot项目了,spring-boot-starter-parent是一个特殊的starter,它用来提供相关的Mav
tomcat漏洞如何修复
最新发布
baimaozi008的博客
04-28 1035
Apache Tomcat 是一款广泛使用的开源Java Servlet容器,由于其广泛的使用,它经常成为安全研究和攻击的目标。修复Tomcat中的漏洞是保证Web应用安全的重要一环。
Spring boot web项目关于Apache Tomcat存在文件包含漏洞(CVE-2020-1938)的整改方法
baidu_38981831的博客
03-04 2593
背景 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 具体公告:https://www.cnvd.org.cn/webin…...
自定义手写Dubbo(Tomcat版)
铁蛋的博客
07-02 835
环境说明 利用的jdk11。创建的maven项目 首先引入Maven依赖 <!-- Tomcat核心包 --> <dependency> <groupId>org.apache.tomcat.embed</groupId> <artifactId>tomcat-embed-core</artifactId> <version>9.0.12</version> </dependency
Maven学习笔记
qq_48157192的博客
08-13 445
Maven
tomcat汇总
javalingyu的博客
04-24 343
1.tomcat的目录结构 1:配置文件 1:核心配置文件server.xml server.xml的每一个元素都对应了Tomcat中的一个组件,server.xml位于$TOMCAT_HOME/conf目录下;下面是server.xml的主要配置 <--server是整个配置文件的根元素 shutdown属性表示关闭Server的指令;port属性表示Server接收shutdown指令的端口号,设为-1可以禁掉该端口--> <Server port="8005" shutdo
tomcat-embed-core 10.0.0 https 监听
2019想做自己的游戏的人加群95303036
12-17 1210
之前的版本是: protocol.setKeystoreFile(keystore.getAbsolutePath()); protocol.setKeystorePass("123qwe"); protocol.setKeyPass("123qwe"); 新版本废弃了,HttpServletRequest 在 jakarta.servlet.http.HttpServletRequest 了。 不多说了 上代码: priv...
Spring Boot之如何升级内嵌tomcat版本
m0_67392273的博客
03-23 1766
文章目录 Spring Boot之如何升级内嵌tomcat版本 1. 背景 2. 过程 2.1 升级单模块项目的tomcat版本 2.2 升级包含多个模块的项目 3. 项目有打包子模块如何升级 尾声 Spring Boot之如何升级内嵌tomcat版本 1. 背景 根据信息安全运营团队发布的Tomcat-AJP协议漏洞风险预警,Tomcat的AJP协议存在高危漏洞(默认8009端口)由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp 下的任意文件
Spring Boot启动过程(五)之Springboot内嵌Tomcat对象的start教程详解
08-30
Spring Boot启动过程(五)之Springboot内嵌Tomcat对象的start教程详解 Spring Boot启动过程(五)之Springboot内嵌Tomcat对象的start教程详解是Spring Boot启动过程的重要组件之一,本文将详细介绍Springboot内嵌...
一张图SpringBoot加载内嵌tomcat
08-01
SpringBoot启动内嵌容器,启动时自动加载tomcat原理,tomcat内嵌集成实现
springboot单独升级Tomcat
10-18
Spring Boot 项目中,Tomcat 的升级是非常重要的,因为低版本的 Tomcat 存在漏洞,可能会导致安全问题。在本文中,我们将详细介绍如何单独升级 Tomcat,以解决漏洞问题。 知识点 1: Tomcat 的漏洞问题 Tomcat ...
Spring Boot如何优化内嵌Tomcat示例详解
08-29
spring boot默认web程序启用tomcat内嵌容器,监听8080端口,下面这篇文章主要给大家介绍了关于Spring Boot如何优化内嵌Tomcat的相关资料,文中通过示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看...
Web开发相关
火车头的博客
08-28 631
超文本的意思是在html中不仅仅包含文本数据,而且可以通过一系列标记,链接各式各样的资源(图片、音频、视频、css、js等)。TCP/IP 协议对 OSI网络模型中的一些层进行了合并,将应用层、表示层、会话层,合并为应用层。信息在传输过程中,有遗失,有损耗,会要求发送方重新发送,从而保证信息的完整性。UDP 协议是一种不可靠的传输协议,信息在传输过程中,有遗失,有损耗,不会要求发送方重新发送。传统的web服务器在接收到客户端请求后,只能将静态的html信息发送给客户端,极大的影响了响应信息的灵活性。...
组件漏洞修复---修改SpringBoot内置tomcat的版本号
初心不忘、始终方得
03-16 2211
修改springboot内置版本号,一行配置搞定
Spring Boot Actuator 漏洞复现合集
热门推荐
god_Zeo的安全博客
02-09 4万+
前言 Spring Boot Actuator 未授权访问漏洞在日常的测试中还是能碰到一些的,这种未授权在某些情况下是可以达到RCE的效果的,所以还有有一定价值的,下面就是对这一系列漏洞复现。 基本上就是参考这篇文章的做的复现: LandGrey/SpringBootVulExploit: SpringBoot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 check list (github.com) Spring Boot Actuator简介 Spring Boot Actuator端点通过 J
Tomcat爆出安全漏洞Spring Cloud/Boot框架多个版本受影响
wangxi06的专栏
02-08 1318
01事件背景 6月25日, Apache 官方安全团队通过邮件公开报告了一个高危漏洞,邮件中介绍了 HTTP/2 拒绝服务漏洞的细节及解决方案。如下图所示: 漏洞详情链接: http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3E 翻译 漏洞名称:Apache Tomcat HTTP/2 拒绝服务漏洞 漏洞编..
spring boot使用内嵌tomcat解决不安全的HTTP方法安全漏洞
caodongfang126的博客
06-21 2083
一:传统Web项目的解决方案: 在tomcat的web.xml配置文件中,对不安全的方法进行拦截: <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
springboot内嵌Tomcat
05-04
Spring Boot 是一个基于 Spring 框架的快速开发框架,它提供了一种快速、方便的方式来构建独立的、生产级别的 Spring 应用程序。Spring Boot 内置了 Tomcat、Jetty、Undertow 等 Web 服务器,这样就可以将应用程序打包成一个独立的、可执行的 jar 包,并且不需要外部依赖,直接通过 java -jar 命令运行即可。 在 Spring Boot 中使用内嵌Tomcat 非常简单,只需要在 pom.xml 文件中添加 Tomcat 的依赖即可: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <!-- 这里可以指定 Tomcat 的版本 --> </dependency> ``` 然后在 Spring Boot 应用程序的入口类上添加 @SpringBootApplication 注解即可: ```java @SpringBootApplication public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 这样就可以启动一个内嵌Tomcat 服务器,并且默认监听 8080 端口,可以通过浏览器访问 http://localhost:8080 进行测试。当然,如果需要修改 Tomcat 的配置,可以在 application.properties 文件中添加相关配置,例如: ```properties # 设置 Tomcat 的端口号 server.port=8081 # 设置 Tomcat 的上下文路径 server.servlet.context-path=/demo ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值