说明:开发环境属于局域网环境,与外网不通,导致下载maven包时会遇到各种版本依赖问题,最好的办法就是在外网环境搭建一套一样的开发环境,这样便于更新maven包。本次漏洞扫描涉及到的漏洞有:Tomcat、jackson-databind、fastjson、logback等,普遍解决方法都是通过升级版本。
- Tomcat版本升级:
(1)查看当前Tomcat版本,可以通过项目启动的日志可以看到;还有一种方法是通过idea编辑器右边导航栏中的Maven中的dependencies,查看Tomcat的版本。
(2)在父pom.xml文件中更新spring-boot-starter-parent版本,其中spring-boot-starter-parent版本对应的Tomcat版本可以在maven资源库中搜索得到https://mvnrepository.com/。
2、jackson-databind版本升级:
(1)查看当前版本的jackson-databind可以通过idea编辑器右边导航栏中的Maven中的dependencies,查看jackson-databind版本。
(2)在父pom.xml中添加
<properties>
<jackson.version>${所需的jackson版本}</jackson.version>
</properties>
3、fastjson版本升级:
(1)这个升级就比较简单了,在pom.xml中找到对应的fastjson依赖,修改版本即可。
4、logback版本升级:
(1)HIDS扫描的漏洞显示的是logback-classic版本有问题,故只需升级logback-classic版本即可。
(2)在pom.xml文件中添加内容如下:
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
<version>${所需版本号}</version>
</dependency>