xfire1.2.6升级Spring版本

最新推荐文章于 2024-07-13 08:00:00 发布
最新推荐文章于 2024-07-13 08:00:00 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: Spring 文章标签: xfire spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014739037/article/details/79922346
版权

今天收到领导的邮件,关于Spring框架中存在多个安全漏洞预警的通知。漏洞描述

CV E-2018-1270漏洞:Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本,通过spring-m essaging和spring-websocket模块提供的基于W ebSocket的STO M P,攻击者可以通过建立W ebSocket连接并发送一条消息造成远程代码执行,从而实现远程代码执行攻击。
CV E-2018-1271漏洞:Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本,SpringM V C允许应用程序对其配置提供静态资源,在W indows系统上实现该功能时,攻击者通过请求构造的特定资源U RL,可能导致目录遍历的效果产生。
CV E-2018-1272漏洞:Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本,当SpringM V C或Spring W ebFlux服务器接受把客户端请求再转向另一台服务器的场景下,攻击者通过构造和污染M ultipart类型请求,可能对另一台服务器实现权限提升攻击。
漏洞相关的技术细节和验证程序已经公开,且漏洞相关PoC已经公开并证实可用,可能构成巨大的现实威胁。

1、受影响版本:
Spring Framework 5.0 to 5.0.4.

SpringFramework 4.3 to 4.3.14

已不支持的旧版本仍然受影响

2、处置建议

升级补丁:

5.0.x 用户升级到5.0.5版本

4.3.x 用户升级到4.3.15版本 

已不支持的旧版本,建议更新到4.3.15版本或5.0.5版本。

于是就开始Spring升级的苦逼之路,其他项目还算顺利但是到xfire服务时出问题,在这个接口服务中引用了spring-1.2.6.jar不知道这个是不是也需要升级呢不管三七二十一开干,中间有很多问题,在最大程度上保持代码不动的前提下,做了以下更改,直接上操作步骤

将项目下的spring-1.2.6.jar删除引入如下jar文件:

问题一:
Configuration problem: Old 1.x 'singleton' attribute in use - upgrade to 'scope

解决方式:修改xfire-spring-1.2.6.jar包中org/codehaus/xfire/spring/xfire.xml配置文件中

所有singleton="true"改成scope="singleton"。修改方式直接用压缩文件打开jar文件找到文件修改并保存。
问题二:
Unrecognized xbean element mapping:beans in namespace http://xfire.codehaus.org/config/1.0

修改xfire配置文件services.xml

修改后:

问题三:
cannot convert value of type 'org.codehaus.xfire.spring.editors.ServiceFactoryEditor' to .....

解决方式:修改修改xfire-spring-1.2.6.jar包中org/codehaus/xfire/spring/customEditors.xmll配置文件:

修改后:

 查看源码可以发现customEditors的类型,在spring2.0 中是Map类型,key和value的类型并不确定,但是底层处理的时候,key的类型必须是Class类型,而value是一个注入的bean;在spring4.0中,customEditors的类型变为了Map<Class<?>, Class<? extends PropertyEditor>>, 也就是说,key和value的类型已经确定为Class类型。
最后成功启动项目。

渊智
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
webservice.jar中的xfire-aegis-1.2.6.jar
08-04
webservice中用到的jar,xfire-aegis-1.2.6.jar
Spring4.x集成xfire1.26 问题汇总
Gblfy_Blog
06-29 2491
问题1: nested exception is java.lang.IncompatibleClassChangeError: class org.springframework.core.type.classreading.ClassMetadataReadingVisitor has interface org.springframework.asm.ClassVisitor as supe...
SpringBoot3.3.0升级方案
最新发布
xingyuemengjin的博客
07-13 2192
本文介绍了由SpringBoot2升级SpringBoot3.3.0升级方案,新版本升级可以解决旧版本存在的部分漏洞问题。
项目启动 xfire-all-1.2.6 jar 包冲突解决版本
qianqian的博客
05-28 428
我们再倒入一个新项目的时候,经常会遇到 jar 包版本冲突,下面是一个小栗子: 加上排除这个就好了 <exclusion> <groupId>javax.activation</groupId> <artifactId>activation</artifactId> </exclusion> ...
xfire版本号为2.0报异常问题,删除spring1.2.6换成spring2.0问题
q78q78的博客
11-25 141
这个问题一直困扰着我,后来网上找了好多方法,都是让删除spring1.2.6//我也删了,可是发现还不对网上说的删除好多都是eclipse文件离得xfire文件中的spring1.2.6这个我就不说在哪了,删了换成spring2.0.//还有就是把tomcat下的你的那个项目文件中的lib里的spring1.2.6删除了,换成spring2.0.这次保证没问题!异常我就再也没出现过所以就写不出来了...
xfire1.26 spring2.5 整合
huawuqueshishui的专栏
11-20 152
 开发步骤:     一, 环境搭建        新建Web工程(或者直接建service项目),名为webservice_helloworld        加入jar包 :              activation-1.1.jar、commons-beanutils-1.7.0.jar、commons-codec-1.3.jar、commons-httpclient.jar、c...
xfire1.2.6版本及依赖文件
11-03
8. **依赖管理**: 提供的`xfire1.2.6_all`压缩包可能包含了所有必要的依赖文件,这方便开发者快速集成到项目中,避免了手动解决依赖问题的麻烦。 9. **文档和社区支持**: 虽然XFire 1.2.6相对较旧,但在其活跃时期...
xfire1.2.6+spring2.5整合
03-11
本项目"xfire1.2.6+spring2.5整合"是将XFire 1.2.6与Spring 2.5这两个开源框架进行融合,以实现更高效的服务导向架构。下面将详细解释这两个框架以及它们整合的意义和方法。 XFire是一个基于Java的Web服务框架,它...
spring3.0整合Xfire1.2.6 开发webservice需要的jar包
04-05
Xfire 1.2.6版本提供了与Spring的良好集成,能够轻松地将Web服务功能嵌入到Spring应用中。Xfire支持SOAP、REST等多种Web服务模式,并且提供了直观的API和配置选项。 要将Spring 3.0与Xfire 1.2.6整合,首先你需要在...
XFire1.2.6
05-27
在本压缩包“XFire1.2.6”中,包含的是XFire 1.2.6版本所需的全部jar文件,这些文件是开发者进行基于webservice开发的重要组成部分。 一、XFire简介 XFire是一个轻量级的Web服务实现,它通过简化API和快速的性能,...
Spring2.0和XFire1.2.6整合案例
08-11
现在我们来深入探讨Spring 2.0与XFire 1.2.6的整合案例。 Spring 2.0是Spring框架的一个重要版本,引入了许多增强的功能,例如支持JSR-250注解、更强大的数据访问抽象以及对AspectJ的全面集成。这些改进使得Spring...
xfire-all-1.2.6 架包冲突解决版本
12-13
XFire1.2版本,其中修改了META-INF/services 目录下的javax.xml.ws.spi.Provider文件,解决因为jdk1.6和XFire的架包冲突问题
xfire-all-1.2.6
05-26
xfire中有个BUG,会自动删除信息中后面的空字符串。这个包就是处理这个问题的,不再自动删除后面的空字符串,保证数据的原始性。删除空格是在org.codehaus.xfire.aegis.stax.ElementReader类的getValue()类中
xfire客户端连接cxf服务端完全解决!
doony的专栏
01-26 892
背景:项目需求要求与一个外部接口做对接,对方的服务端是cxf,而项目组用的是xfire1.2.6,JDK1.5。       对方也不可能改他们的服务端为xfire版本。 问题:因为历史原因,本项目是运行了多年的老系统,jdk1.5的环境,客户不可能因为一个接口就升级jdk到1.6,而且老系统里有很多接口都是在xfire上开发的,也不可能因为cxf来一次大改动,还不包括测试。 ...
Spring Framework 1.2.6 Released
BLOG域名:programb.blog.csdn.net
05-14 322
Releases Juergen Hoeller November 15, 2005 We’re pleased to announce that Spring 1.2.6 has just been released. This is a bugfix and minor enhancement release, fixing a number of issues found in previous 1.2.x releases and introducing various minor new feat
xFire的使用 最新的是CXF
10-21 147
1.    第一种方法 1.1.       在web.xml中配置加载xfire的配置文件xfire.xml context-param>     param-name>contextConfigLocationparam-name> param-value>classpath:spring/applicationContext.xml;classpath:org/codehaus/xf
CXF简单实例--MyEclipse, Junit, Maven--Xfire升级版,Web Service框架
Younge的专栏
08-19 2097
CXF简单实例--MyEclipse, Junit, Maven--Xfire升级版,Web Service框架
XFire的下一代产品CXF的入门(一)
woohooli的专栏
10-06 2817
CXF step by step 在http://incubator.apache.org/cxf/download.html 下载最新版本的CXF。之后解压到D:/CXF示例的开发分为三步l         设置编译环境l         写一个简单的 JAX-WS 服务l         通过JAX-WS API把你的服务发布l         通过客户端调用你的服
XFire 1.2.6 单独使用与整合Spring使用配置方法
生活的真相
10-13 3064
一.单独使用XFire,不与Spring整合的情况下的配置
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值