前言:2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,漏洞利用细节已大范围公开,Spring官方已发布补丁修复该漏洞。CNVD建议受影响的单位和用户立即更新至最新版本。现对项目的修改升级做一下记录,也方便还不知道如何升级的小伙伴一起学习。
一、查看项目spring版本
因为项目使用的是springboot,而springboot默认集成的springframework,而官方又只说对springframework进行了版本升级,这就导致很多刚入职的小白不知道如何进行升级
首先查看版本号:
// 在springboot项目里写一个main方法直接运行可以看到spring的版本
System.out.println(SpringBootVersion.getVersion());
System.out.println(SpringVersion.getVersion());
或者看一下项目引入的包,这里springframework是5.2.15所以需要进行升级
二、升级方式
官方也都没说springboot在哪个版本集成了5.3.18,和5.2.20,所以只能去github查看官方对springboot项目的升级,地址:https://github.com/spring-projects/spring-boot/releases
这里看到springboot在2.5.12和2.6.6进行了springframework的升级,所以只需要对项目里的springboot版本设置为相应的2.5.12或2.6.6即可;
总结
确实就是这样很简单的事情,一开始我竟然也有点不知道从哪下手。大家以为呢,是不是比写个helloworld还简单!