jar包依赖漏洞升级思路

最新推荐文章于 2024-06-07 10:32:32 发布
最新推荐文章于 2024-06-07 10:32:32 发布
阅读量2.3k 收藏 11
点赞数
文章标签: jar java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32590535/article/details/131326703
版权

背景:接到通告,部分依赖存在漏洞风险,项目需要进行依赖版本升级

依赖名称问题描述风险解决方案
Jackson-databindackson-databind<=2.910.8本存在远程代码执行漏洞服务器沦陷升级Jackson-databind>2.9.10.8版本
XstreamXStream <=1.4.19版本存在反序列漏洞服务器沦陷升级XStream >1.4.19版本

1、整理思路

(1)我们的目标肯定是要将项目的依赖汇聚起来并且能够查询,最好的办法就是打印项目依赖树
(2)依赖树打印出来后,我们就可以直接查询相关的依赖包是包含在哪些依赖里面

2、安装打印插件Maven Dependency Checker

在这里插入图片描述

3、用idea打开项目,在父工程pom目录下,执行maven命令

 D:\code\shop-cloud> mvn dependency:tree

4、查看打印结果,大概如下。可以直接Ctrl+F查询有问题依赖,进而找到具体引用的地方

在这里插入图片描述

5、到maven仓库查找适合版本的依赖,Vulnerabilities项尽可能不要有红色字体,有红色字体的都是有一些问题的版本。

在这里插入图片描述

6、进行依赖升级

这里拿jackson-databind为例,在父工程pom中properties先添加版本号,再添加依赖

<properties>
	<jackson.version>2.11.0</jackson.version>
</properties>

<dependencies>
	<dependency>
	    <groupId>com.fasterxml.jackson.core</groupId>
	    <artifactId>jackson-databind</artifactId>
	    <version>${jackson.version}</version>
	</dependency>
	<dependency>
	    <groupId>com.fasterxml.jackson.core</groupId>
	    <artifactId>jackson-core</artifactId>
	    <version>${jackson.version}</version>
	</dependency>
</dependencies>

7、检查当前项目实际引用的依赖版本

右键点击项目=》maven=>show Effective POM
在这里插入图片描述
Ctrl+F 搜索依赖检查,正确无误
在这里插入图片描述

8、还差很重要的两步,以下两个步骤都通过,则升级成功!

(1)编译项目,需要通过
(2)运行项目,需要通过

该流程说明主要是记录一下解决问题的流程,也结合了网上的意见说明,并非唯一手段

码至终章
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
idea升级优化的Jar包
04-18
有关idea升级优化的jar包 仅供参考 JetbrainsIdesCrack-3.4-release-enc
hadoop的外部依赖jar包
06-15
有时候在eclipse上运行项目,需要引用的Hadoop的jar包,也就是hadoop的外部依赖包,有conf,fs,io,mapreduce等等,这里列举了一部分,基本上hadoop的所有外部依赖jar包都包含在内了,如果下载了不会使用,可以看我...
jackson-databind升级2.7版本到2.10.0
热门推荐
m0_37558251的博客
05-20 1万+
1.直接修改jackson-databind的版本号为2.10.0 启动报错,找不到类。 2.升级版本号同时加上jackson-core依赖 <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-databind</artifactId> <version>2.10.0</version> &lt
XStream问题合集(升级版本,字段缺失)
最新发布
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
06-07 507
了解具体用法的可以借鉴这篇文章xstream运用,JAVA对象转xml,xml转JAVA对象-CSDN博客目录升级问题异常报错信息1com.thoughtworks.xstream.security.ForbiddenClassException解决方法需要降低限制权限异常报错信息2com.thoughtworks.xstream.converters.reflection.AbstractReflectionConverter$UnknownFieldException: No such field解决方
JAVA-idea更新Maven jar包
zzh18334820165的博客
09-13 3156
腾讯云jar包依赖版本更新
PigeonEssence的博客
12-17 740
今天登录腾讯云的时候发现有漏洞提示 : 看了一下需要修复漏洞,记录一下修复方法: 1.找到部署的项目,在MAVEN中定位依赖。 因为我就部署了一个服务,还比较好找。 可以看到是spring-boot-stater-web目录下的 2.按住control在Pom文件中点进去,找到依赖 把版本改成最新的,然后部署即可。 ...
IDEA中maven库自动加载更新jar包
S15031618的博客
03-12 3780
1.首先在.pom文件中,加入需要导入的jar包。 2.打开IDEA找到对应目录,File--》Setting。 3.首先在搜索框中输入maven,然后点击目录Maven,勾选下图中的选项。 然后点击Maven--》Importing,勾选下图中的两个选项。 最后刷新maven库。 ...
使用IDEA内置maven更新依赖jar包
JavaEdge全是干货的技术号
05-11 4658
现象 IDEA可设置自动载入Maven依赖,但有时pom文件修改却没有触发自动重新载入的动作,需要 手动强制更新 选中对应项目模块,右键选择 Reimport
cxf最少依赖jar包
10-24
- 在构建CXF最少依赖包时,需要仔细分析其依赖关系,剔除不必要或可替代的库,确保仅保留最基础的功能。 - 使用工具如Maven或Gradle的依赖管理功能,可以自动解决和优化依赖树,找出最小集。 3. **JAX-WS和JAXB**...
SpringBoot项目没有把依赖jar包一起打包的问题解决
08-25
SpringBoot 项目依赖 jar 包一起打包问题解决 SpringBoot 项目在打包时,经常会遇到依赖jar 包没有被一起打包的问题,这个问题的解决方案将在本文中详细介绍。解决这个问题的关键在于在 pom.xml 文件中添加正确...
javax依赖包,还有四个jar包
07-03
javax依赖包,还有四个jar包。用于解决高版本jdk提示AVA.LANG.CLASSNOTFOUNDEXCEPTION: JAVAX.XML.BIND.JAXBEXCEPTION。使用方法在博文里。直接把包放在lib文件夹下即可。
增量更新jar包
10-25
增量更新所需要用到的jar包,项目中直接使用即可
maven更新用到的jar包整理
07-28
见截图,列举部分jar: 3.5.7.Final.jar aspectjweaver.jar cglib-nodep-2.1_3.jar commons-codec-1.8.jar commons-collections-3.2.1.jar guava-15.0.jar httpClient4.3.1.rar httpmime-4.3.1.jar maven-aether-provider-3.2.1-sources.jar maven-antrun-plugin-1.3.jar maven-artifact-3.2.1-sources.jar maven-assembly-plugin-2.2-beta-5.jar maven-bundle-plugin-1.0.0.jar
xstream-1.4.15.jar
01-28
XStream 反序列化漏洞(CVE-2020-26258 & 26259),修复jar包 xstream-1.4.15.jar Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发。 0x01 漏洞描述 Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。 影响版本 Xstream = 1.4.15 风险等级 严重
jackson-databind-2.9.10.8.jar升级相关jar包
04-21
jackson-databind-2.9.10.8.jar升级相关jar包包含: jackson-module-jaxb-annotations-2.9.10.jar jackson-core-2.9.10.jar jackson-databind-2.9.10.8.jar jackson-annotations-2.9.10.jar jackson-jaxrs-json-provider-2.9.10.jar jackson-jaxrs-base-2.9.10.jar 下载地址 https://repo1.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/2.9.10.8/
jxls2 依赖jar包
10-26
commons-jexl-2.1.1.jar commons-lang3-3.4.jar commons-logging-1.2.jar jxl-2.6.10.jar log4j-1.2.17.jar poi-3.12.jar poi-ooxml-3.12.jar poi-ooxml-3.12.jar slf4j-api-1.7.7.jar slf4j-log4j12-1.7.7.jar ...
Maven依赖jar的自动升级配置
tianlong1569的专栏
12-06 4905
Maven应用 Maven自动依赖最新的jar包
jar包升级以及依赖冲突解决思路(小白入门级)
Liuxw666666的博客
10-18 3128
最近工作接了一个坑,要做一个项目的组件版本升级,就是maven项目通过pom.xml文件管理的jar包,之前没有过这方面的工作经验,在这里记录一下遇到的问题,以及自己简单的经验。1.第一步肯定是要去maven仓库里找到自己要升级的版本了,可能是指定你升级到哪个版本,或者是让你做一些漏洞升级,没有给你指定版本,这就更要去仓库里找到自己需要的版本号了。。在这里直接搜自己想要查找的jar即可。2.找到自己需要升级jar包版本之后,肯定是要把目前项目里的jar包版本给删掉,这里推荐一个idea插件,。
maven升级漏洞依赖jar包
翱翔于知识的天空
12-06 8534
如果只是想打印当前项目的依赖树,最简单的方法就在在该项目(包含pom)的目录下执行maven命令,要注意的点是:1.执行的目录下必须包含pom文件,且多模块的要在父pom所在目录下执行;2.需要在powershell下执行(idea里支持) 如果想打印出来并放到一个文件里,那么可以在项目目录下执行该命令 执行完上述命令后,就可以到对应目录下找到那个文件,里面就是你项目里的所有依赖。 这里简单提供一个解析上面txt的文件并转成xml的代码 2.判断依赖是否有漏洞 上maven仓库上搜索对应的artifac
spirngboot更新jar包依赖
09-07
使用Spring Boot更新Jar包依赖有以下几个步骤: 1. 打开项目的pom.xml文件,该文件位于项目的根目录中。 2. 在pom.xml文件中,找到<dependencies>标签,该标签包含了所有项目所依赖Jar包。 3. 查找需要更新的Jar包的信息,可以通过搜索引擎或访问官方网站获取最新版本的Jar包。 4. 在<dependencies>标签中找到需要更新的Jar包依赖项,通常是以<dependency>为开头的一组标签。 5. 将旧版本的依赖项标签替换为新版本的依赖项标签。 6. 点击保存按钮,保存pom.xml文件。 7. 在项目的根目录中打开命令行工具,执行以下命令: ``` mvn clean install ``` 这会重新构建并安装项目的所有依赖项。 8. 如果有需要,可以重新启动项目,并验证更新的Jar包是否生效。 通过上述步骤,就可以使用Spring Boot更新Jar包依赖。需要注意的是,更新Jar包依赖可能会导致项目中的代码需要进行相应的修改,以适应新版本的Jar包。所以在更新之前,建议先仔细阅读新版本的文档,了解可能的变化及其影响,以便做出相应的修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值