针对Spring框架存在远程命令执行漏洞的升级

已于 2022-04-01 23:15:52 修改
阅读量905 收藏 2
点赞数 2
文章标签: java mysql mybatis spring spring boot
于 2022-04-01 23:10:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44614149/article/details/123910012
版权

文章目录

前言:2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,Spring官方已发布补丁修复该漏洞。CNVD建议受影响的单位和用户立即更新至最新版本。现对项目的修改升级做一下记录,也方便还不知道如何升级的小伙伴一起学习。

一、查看项目spring版本

因为项目使用的是springboot,而springboot默认集成的springframework,而官方又只说对springframework进行了版本升级,这就导致很多刚入职的小白不知道如何进行升级
首先查看版本号:

// 在springboot项目里写一个main方法直接运行可以看到spring的版本
		System.out.println(SpringBootVersion.getVersion());
        System.out.println(SpringVersion.getVersion());

或者看一下项目引入的包,这里springframework是5.2.15所以需要进行升级
在这里插入图片描述

二、升级方式

官方也都没说springboot在哪个版本集成了5.3.18,和5.2.20,所以只能去github查看官方对springboot项目的升级,地址:https://github.com/spring-projects/spring-boot/releases
在这里插入图片描述
在这里插入图片描述
这里看到springboot在2.5.12和2.6.6进行了springframework的升级,所以只需要对项目里的springboot版本设置为相应的2.5.12或2.6.6即可;

总结

确实就是这样很简单的事情,一开始我竟然也有点不知道从哪下手。大家以为呢,是不是比写个helloworld还简单!

hennry_9523
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Spring Boot升级指南
qq_34188455的博客
08-25 1228
Spring Boot版本升级指南
怎么升级Java框架_java – Spring框架升级到5
weixin_29443363的博客
02-25 1805
我正在尝试将Spring 4.0.1.RELEASE升级到最新的Spring版本5.0.6.RELEASE.在我的pom.xml中更改版本后,它显示错误org.springframework.beans.factory.BeanDefinitionStoreException: Unexpected exception parsing XML document from ServletContex...
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
# Spring5框架重点之SpringMVC进阶
weixin_43914685的博客
07-21 295
Spring5框架重点之SpringMVC进阶 Spring官网: https://spring.io/ SpringMVC:控制层框架【接收请求,响应请求】 1.SpringMVC的入门案例 1.1 通过maven构建一个web项目 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E2IwLvw9-1626832705315)(img\1598355971112.png)] 1.2 添加对应的依赖及Tomcat插件 <dependencies> <d
Spring Framework版本升级
pany_2017的博客
04-15 8556
项目中spring framework版本升级
spring-boot-dependencies管理的版本依赖,spring-boot-parent的父依赖是dependencies
热门推荐
诗水人间
05-03 14万+
spring-cloud-dependcies管理的依赖 为了方便查找可以收藏本篇文章,当然也可以找到自己本地仓库中的pom文件,然后通过ctrl+F(浏览器和文本软件)搜索自己想要使用的依赖查看一下对应的版本 在使用spring-boot-parent或者spring-boot-dependencies时是否有会有疑问?在加入新的依赖的时候,疑惑这个依赖是否需要<version&...
Spring 工程中报错及解决办法
cts529269539的专栏
06-26 748
Spring 工程中报错及解决办法 1、当使用Spring的测试框架做单元测试时加上@RunWith(SpringJUnit4ClassRunner.class)时,java文件就报错 产生原因:Spring不支持junit4.5以下的版本。 解决办法:把把当前使用的junit jar包版本升级到4.5以上就OK了   2、Spring和Hibernate整合时,报nested ex
Spring Framwork(cve-2022-22965)
weixin_46539164的博客
04-28 306
前言 本次实验乃本地搭建测试,未在互联网测试,仅提供学习参考。 漏洞说明 Spring框架满爆出的RCE (远程命令执行漏洞,编号是CVE-2022-22965。这个漏洞的主要原因是在JDK9+版本里,Spring MVc的数据绑定时出现的漏洞。 影响版本 spring Framework < 5.3.18 spring Framework <5.2.20 漏洞复现 环境搭建:由vulhub一键搭建,靶场地址:yourIP:Port [upl-image-preview url=https:/
Bean装配方式的升级
ITwolf的博客
03-25 899
SpringBoot简化操作,开箱即用 了解一下SpringBoot的相关Bean装配
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
Spring框架中的spring-messaging模块提供了一种基于WebSocket的STOMP协议实现,STOMP消息代理在处理客户端消息时存在SpEL表达式注入漏洞,因此攻击者可以通过构造恶意的消息来实现远程代码执行。 Windows平台...
Spring framework(cve-2010-1622)漏洞利用指南 .docx
11-24
Spring Framework是一个流行的Java WEB应用程序框架,但是在2010年,研究人员发现了一个严重的漏洞(CVE-2010-1622),该漏洞可以导致拒绝服务和远程代码执行。 二、漏洞原理 漏洞的出现是由于Spring MVC框架的...
CVE-2022-22965 GUItools单个图形化利用工具
04-06
影响版本:和 的Spring框架存在漏洞,建议用户尽快进行排查处置。 缺陷分析 CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得...
组件漏洞修复---修改SpringBoot内置tomcat的版本号
初心不忘、始终方得
03-16 2184
修改springboot内置版本号,一行配置搞定
【安全警报】Spring DoS漏洞曝光!涉及所有版本,建议立即升级
weixin_49044033的博客
03-22 1183
Spring Security 是其中的一项重要功能,提供了模块化的认证和授权方式,可以轻松集成到 Web 应用中,并支持多种身份验证方式,包括基于表单、指令、口令和 OpenID 等方式。CVE-2023-20861:在 Spring Framework 6.0.0-6.0.6、5.3.0-5.3.25、5.2.0.RELEASE-5.2.22.RELEASE 和更早已经不被支持的版本中,用户可以提供一个特殊设计的 SpEL 表达式,它能导致拒绝服务(DoS)攻击。六、Spring Boot。
【总结】安全漏洞组件升级修复问题集群
|] 大世界,小人物
02-06 1453
最近在搞系统安全漏洞组件修复的工作,项目是用springboot大件的,用到了很多第三方组件包,通过安全扫描软件时,报了很多组件存在安全漏洞。于是很多组件只能硬着头皮升级升级后,遇到了很多编译启动问题,项目启动不了了。代码编译的情况,可以修改代码,但jar包冲突引发的启动失败,只能一个一个排查。
Spring 漏洞及其修复方案
xiangzhihong8的专栏
04-01 2716
Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,好在Spring官方已发布补丁修复该漏洞漏洞分析 Spring框架(Framework)是一个开源的轻量级J2EE应用程序开发框架,提供了IOC、AOP及MVC等功能,解决了程序人员在开发中遇到的常见问题,提高了应用程序开发便捷度和软件系统构建效率。 2022年3月30
SpringBoot框架升级
u013310037的博客
05-17 6609
项目框架升级Spring Boot 升级到2.6.6, Spring Framework升级到5.3.18 接到安全漏洞扫描的通知:Spring Boot 集成环境信息泄露漏洞【POC】 处置建议:Spring 官方已发布漏洞修复版本,请用户及时更新至最新版本。 原来SpringBoot框架版本: <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boo
jar包增量更新分析
最新发布
junlaiyan的专栏
05-16 280
借助jdeps分析出jar包的增量文件
javax.servlet-api 3.0.1
07-07
### 回答1: javax.servlet-api 3.0.1是Java Servlet规范的一个实现,它是JavaEE的一部分,用于开发基于HTTP协议的Web应用程序。 javax.servlet-api 3.0.1提供了一系列的类和接口,用于处理HTTP请求和响应。它定义了Servlet和相关的API,包括Servlet容器、Session管理、过滤器、监听器等。开发人员可以使用这些API来编写Servlet,处理来自客户端的请求,并生成响应。 通过使用javax.servlet-api 3.0.1,开发人员可以创建具有动态功能的Web应用程序。例如,他们可以接收用户表单提交的数据,处理并返回结果。他们还可以访问HTTP请求的头部信息、请求参数、Cookie等,并根据需要执行相应的操作。 此外,javax.servlet-api 3.0.1还简化了Web应用程序的开发和部署。它提供了一套标准的API和规范,保证了Web应用程序的可移植性。无论是部署在任何支持Servlet规范的容器中,都可以保证Web应用程序的运行。 总结来说,javax.servlet-api 3.0.1是一个用于开发基于HTTP协议的Web应用程序的Java库。它提供了一套标准的API和规范,简化了Web应用程序的开发和部署,并且具有高度的可移植性和灵活性。 ### 回答2: javax.servlet-api 3.0.1 是 Java Servlet 规范的一个实现。Java Servlet 是 JavaEE(现在的 Jakarta EE)规范中的一部分,用于开发基于Java的Web应用程序。 javax.servlet-api 3.0.1 提供了一套类和接口,用于处理 HTTP 请求和响应。它定义了 Servlet 接口,开发人员可以通过继承该接口来创建自己的 Servlet。Servlet 是在服务器上运行的 Java 类,用于处理客户端的请求,并生成响应。 javax.servlet-api 3.0.1 还定义了一些与会话管理、过滤器、监听器和错误处理等相关的类和接口。它使开发人员能够更方便地处理与 Web 应用程序相关的功能,如用户身份验证、页面重定向和会话跟踪等。 通过使用 javax.servlet-api 3.0.1,开发人员可以创建灵活、可扩展和安全的 Web 应用程序。它提供了可重用的组件,可以处理各种请求和响应,并能够与不同的服务器和容器进行集成。此外,它还提供了一些工具类和接口,用于管理 Web 应用程序的配置和部署。 总结来说,javax.servlet-api 3.0.1 是用于开发基于 Java 的 Web 应用程序的一个组件。它提供了处理 HTTP 请求和响应的类和接口,以及与会话管理、过滤器、监听器和错误处理等相关的功能。通过使用 javax.servlet-api 3.0.1,开发人员可以创建高效、可扩展和安全的 Web 应用程序。 ### 回答3: javax.servlet-api是用于Java Servlet规范的官方API。它提供了开发基于Java的Web应用程序所需的所有必要功能和接口。javax.servlet-api 3.0.1是javax.servlet-api的一个特定版本,它是该API的第3个大版本中的一个小更新。 javax.servlet-api 3.0.1包含了一系列的类和接口,用于处理HTTP请求和响应,以及管理会话、过滤器和监听器等Web应用程序开发的关键组件。 例如,它提供了HttpServletRequest和HttpServletResponse接口,以便开发人员能够读取和处理客户端发送的HTTP请求,并生成对客户端的HTTP响应。此外,它还提供了ServletContext接口,用于在应用程序级别共享数据和资源。 javax.servlet-api 3.0.1还引入了一些新特性,如Servlet 3.0的异步支持,允许开发人员在处理请求和生成响应时进行异步操作。这使得在处理大量请求时能够提供更好的性能和可伸缩性。 总之,javax.servlet-api 3.0.1是一个重要的Java Web开发工具,为开发人员提供了处理HTTP请求和响应、管理会话等关键功能的API。它是遵循Java Servlet规范的一部分,并且在Web应用程序开发中被广泛使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值