升级背景
检测到2.2.0版本xxl-job服务受如下2个漏洞影响,需要升级到2.4.0修复漏洞。
- 【修复】”CVE-2022-36157” 授权漏洞修复。
- 【修复】”CVE-2022-43183” SSRF漏洞修复。
关键点
根据运维经验和2.2.0版本搭建过程得知,升级版本需要考虑2个地方
- 数据库表结构
- 配置文件(src/main/resources/application.properties )
升级步骤
一. 通过比对工具,比对2个版本的初始化sql,整理升级差异sql。升级差异sql如下。
-- Table: `xxl_job_info`
ALTER TABLE `xxl_job_info` ADD COLUMN `schedule_type` varchar(50) NOT NULL DEFAULT 'NONE' COMMENT '调度类型' AFTER `alarm_email`;
ALTER TABLE `xxl_job_info` ADD COLUMN `schedule_conf` varchar(128) DEFAULT NULL COMMENT '调度配置,值含义取决于调度类型' AFTER `schedule_type`;
ALTER TABLE `xxl_job_info` ADD COLUMN `misfire_strategy` varchar(50) NOT NULL DEFAULT 'DO_NOTHING' COMMENT '调度过期策略' AFTER `schedule_conf`;
-- 新增字段赋值
update `xxl_job_info` set `schedule_type` = 'CRON';
update `xxl_job_info` set `schedule_conf` = `job_cron`;
-- Table: `xxl_job_log_report`
ALTER TABLE `xxl_job_log_report` ADD `update_time` datetime DEFAULT NULL AFTER `fail_count`;
-- Table: `xxl_job_group`
ALTER TABLE `xxl_job_group` MODIFY `address_list` text COMMENT '执行器地址列表,多地址逗号分隔';
ALTER TABLE `xxl_job_group` ADD `update_time` datetime DEFAULT NULL AFTER `address_list`;
二. 2.2.0版本所在数据库执行上述升级差异sql
三. 将现正在运行的2.2.0版本的配置文件,拷贝到2.4.0版本配置文件目录下。配置文件目录:src/main/resources/application.properties,根据比对工具发现,只在2.2.0版本配置基础上增加3处即可。
四. 在2.4.0版本源码目录重新编译生成jar包
进入目录:xxl-job-2.4.0/xxl-job-admin
使用如下编译命令,编译后,生成的2.4.0版本程序jar路径在:target/xxl-job-admin-2.4.0.jar
mvn clean install -Dmaven.test.skip=true
杀掉2.2.0版本程序,启动2.4.0版本程序。
ps -ef|grep xxl-job-admin-2.2.0.jar|grep -v grep|awk -F ' ' '{print $2}'|xargs kill -9
nohup java -jar xxl-job-admin-2.4.0.jar >> /dev/null 2>&1 &
升级完毕
重新登录控台首页,看到已经升级完毕。
后话
所有操作尽量有备份,例如2.2.0版本的数据库以及配置文件要有备份。