spring-gateway3.1.1升级过程记录(Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947))

最新推荐文章于 2023-10-04 22:20:58 发布
最新推荐文章于 2023-10-04 22:20:58 发布
阅读量4.8k 收藏 8
点赞数 2
文章标签: spring maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010940131/article/details/124176224
版权
本文介绍了如何针对CVE-2022-22947漏洞,仅升级Spring Cloud Gateway到2021.0.1版本,同时保持其他模块不变。首先,更新`pom.xml`中Spring Boot和Spring Cloud的版本,然后移除Hystrix相关配置,以避免错误。通过这些步骤,成功修复了安全问题。
摘要由CSDN通过智能技术生成

项目场景:

1、Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)

所以必须升到3.1.1

2、以spring-cloud架构做的项目

3、不想升级其他模块版本,只想升级spring-gateway

4、spring最近的漏洞怎么这么多,...心累

解决方案:

直接上步骤

第一步:pom.xml文件修改

parent改成下面的,不要依赖原来的哈

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.6.3</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>

spring-cloud版本2021.0.1

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>
<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-dependencies</artifactId>
            <version>2021.0.1</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

如果gateway还调用了其他服务要加上

<!-- Feign Client for loadBalancing -->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-loadbalancer</artifactId>
</dependency>
<dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-openfeign</artifactId>
</dependency>

最后的pom文件内容如下,当然如果你还有别的需要依赖也要注意版本适配哦

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.6.3</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>

<dependencies>

    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-openfeign</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-gateway</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-bootstrap</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
    </dependency>

    <!-- Feign Client for loadBalancing -->
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-loadbalancer</artifactId>
    </dependency>

    <!-- SpringBoot Actuator -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-actuator</artifactId>
    </dependency>
</dependencies>
<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-dependencies</artifactId>
            <version>2021.0.1</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

第二步:如果原来用hystrix配置了,一定要去除哦,要用过滤器可以自己写,这里不赘述了。


      default-filters:
        - name: Hystrix
          args:
            name: fallbackcmd
            fallbackUri: forward:/fallback

如果还是报了

hystrix相关错误,搜索一下看看哪里还有用么,也删除寻找其他替代方案吧。

好了现在可以启动试试了,成功修复漏洞......

73一人
关注
从0到1带大家搭建spring cloud alibaba 微服务大型应用框架(六)(gateway篇)spring cloud gateway 远程漏洞原因升級到3.1.1完整配置
峡谷电光马仔的博客
03-09 1951
# 从0到1 手把手搭建spring cloud alibaba 微服务大型应用框架(六)(gateway篇)spring cloud gateway 远程漏洞原因升級到3.1.1完整配置 ## spring cloud gateway 远程漏洞问题 ## spring cloud gateway 升级3.11spring cloud ,spring cloud alibaba,spring boot版本对应关系 ## 为什么只升级spring cloud gateway 服务而不升级全部服务?
远程代码执行漏洞Spring Cloud Gateway RCE(CVE-2022-22947
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-03 1206
Spring Cloud Gateway RCE漏洞背景,近日,Spring官方发布了关于Spring Cloud GatewayCVE报告,其中包含Spring Cloud Gateway 远程代码执行漏洞CVE-2022-22947)。 Gateway是在Spring生态系统之上构建的API网关服务,基于Spring 5,Spring Boot 2和 Project Reactor等技术。远程代码执行漏洞Spring Cloud Gateway RCE
CVE-2022-22947-Spring Cloud Gateway RCE漏洞
qq_18209847的博客
04-03 5830
Spring Cloud Gateway 远程代码执行漏洞CVE-2022-22947)发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击
SpringCloud 2021.0.1 SpringCloudGateway 3.1.1新版中GlobalFilter使用OpenFeign失败(503)的问题
Dissolute_的博客
04-05 5688
SpringCloud 2021.0.1 SpringCloudGateway 3.1.1新版中GlobalFilter使用OpenFeign失败的问题 简单说下好了,这个问题其实在springCloud移除ribbon之后就出现的 之前我用的版本SpringCloud Hoxton.SR8,具体这个版本里还有没有ribbon也没有去看了,反正这会在gateway里使用feign是没有任何问题的 也可能依赖中单独添加了ribbon没注意,这不因为springCloudGateway爆出来的漏洞嘛(某台生
Spring cloud Gateway版本升级踩坑总结
weixin_38839402的博客
02-12 5815
Spring cloud gateway版本升级,feign调用失败启动假死等一系列问题
spring-cloud-gateway-server-3.1.1-API文档-中文版.zip
05-09
赠送jar包:spring-cloud-gateway-server-3.1.1.jar; 赠送原API文档:spring-cloud-gateway-server-3.1.1-javadoc.jar; 赠送源代码spring-cloud-gateway-server-3.1.1-sources.jar; 赠送Maven依赖信息文件:spring-cloud-gateway-server-3.1.1.pom; 包含翻译后的API文档:spring-cloud-gateway-server-3.1.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.cloud:spring-cloud-gateway-server:3.1.1; 标签:cloudspring、server、springframework、gateway、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
Spring-Cloud-Gateway升级到放弃
weixin_33708432的博客
03-06 925
1 为什么要升级spring-cloud-gatewaySpring Cloud Gateway features: Built on Spring Framework 5, Project Reactor and Spring Boot 2.0 Able to match routes on any request attribute. P...
Spring Cloud Gateway 3.1.1基于redis实现动态路由和管理功能
qiaodaima0的博客
04-12 5181
需求: 正常的提供一个网关服务,可以实现网关的管理(增删改查) 思路: 1、创建一个网关路由数据表来实现网关的配置管理 2、低版本Spring Cloud Gateway 框架要实现基于reids网关动态路由,有两步 (1)实现RouteDefinitionRepository接口,实现下面三个 方法即可分别对应路由的获取、保存和删除 Flux getRouteDefinitions(); Mono save(Mono route); Mono delete(Mono routeId); (2)创建spri
CVE-2022-22947 Spring Cloud Gateway 远程代码执行漏洞复现
weixin_45260839的博客
05-08 3293
CVE-2022-22947 Spring Cloud Gateway 远程代码执行漏洞复现
Spring Cloud Gateway 远程代码执行漏洞CVE-2022-22947
web_15534274656的博客
09-11 768
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
spring-cloud-gateway-server-3.1.1-API文档-中英对照版.zip
05-03
赠送jar包:spring-cloud-gateway-server-3.1.1.jar; 赠送原API文档:spring-cloud-gateway-server-3.1.1-javadoc.jar; 赠送源代码spring-cloud-gateway-server-3.1.1-sources.jar; 赠送Maven依赖信息文件:spring-cloud-gateway-server-3.1.1.pom; 包含翻译后的API文档:spring-cloud-gateway-server-3.1.1-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.springframework.cloud:spring-cloud-gateway-server:3.1.1; 标签:cloudspring、server、springframework、gateway、jar包、java、中英对照文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请
spring cloud gateway 升级到2.0.0REALEASEbanb版本404问题
万万没想到的博客
07-11 2404
版本从服务中心获取地址的配置改为 spring: cloud gateway: discovery: locator: enabled: true
Spring Cloud Gateway 没有链路信息,我 TM 人傻了(上)
hashcon
09-24 584
本系列是 我TM人傻了 系列第五期[捂脸],往期精彩回顾: 升级Spring 5.3.x之后,GC次数急剧增加,我TM人傻了 这个大表走索引字段查询的 SQL 怎么就成全扫描了,我TM人傻了 获取异常信息里再出异常就找不到日志了,我TM人傻了 spring-data-redis 连接泄漏,我 TM 人傻了 本篇文章涉及底层设计以及原理,以及问题定位和可能的问题点,非常深入,篇幅较长,所以拆分成上中下三篇: 上:问题简单描述以及 Spring Cloud Gateway 基本结构和流程以及底层原.
SpringCloud升级之路2020.0.x版-41. SpringCloudGateway 基本流程讲解(2)
hashcon
11-25 551
本系列代码地址:https://github.com/JoJoTec/spring-cloud-parent 我们继续分析上一节提到的 WebHandler,经过将请求封装成 ServerWebExchange 的 HttpWebHandlerAdapter 之后,请求会经过 ExceptionHandlingWebHandler 全局 Web 处理异常处理器的接入点 - ExceptionHandlingWebHandler 之前有网友私信问过笔者,如何给 Spring Cloud Gateway..
Spring Cloud-Gateway
qq_16268979的博客
03-01 352
Spring Cloud-Gateway
微服务网关:Spring Cloud Zuul 升级 Spring Cloud Gateway 的核心要点
最新发布
Howinfun的博客
10-04 2102
微服务网关:Spring Cloud Zuul 升级 Spring Cloud Gateway 的核心要点
SpringCloudAlibaba升级避坑指南
weixin_42381199的博客
03-31 1071
本文主要介绍如何把我们 Spring Cloud Alibaba 的微服务架构进行一次版本升级,本次使用Spring Gateway结合Nacos实现动态路由为例说明版本升级中的一些需要注意的细节和变动。
SpringCloud Gateway 使用详解
qq_40774600的博客
07-04 2711
springCloud Gateway 网关路由
Spring Cloud Gateway 3.1.1 中文API文档与资源包下载
资源摘要信息:"spring-cloud-gateway-server-3.1.1-API文档-中文版.zip"是关于Spring Cloud Gateway服务端的API文档中文版压缩包,其中包含了Spring Cloud Gateway服务端的jar包、原API文档、源代码Maven依赖信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值