侧边栏壁纸
  • 累计撰写 27 篇文章
  • 累计创建 42 个标签
  • 累计收到 34 条评论

目 录CONTENT

文章目录

项目部署后高危漏洞修复

miykah
2023-06-30 / 1 评论 / 1 点赞 / 53 阅读 / 3472 字 / 正在检测是否收录...
温馨提示:
本文最后更新于 2023-12-23,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

项目部署到后高危漏洞的修复

部署到云服务器之后,发现有5个安全漏洞。

需要根据修复方案自行修复

漏洞列表页

Apache Dubbo 漏洞修复

将 Apache Dubbo 3.0.9 升级到 3.0.14 及以上版本

<!-- dubbo -->
<dependency>
  <groupId>org.apache.dubbo</groupId>
  <artifactId>dubbo</artifactId>
  <version>3.0.14</version>
</dependency>

FasterXML jackson-databind 漏洞修复

查看 Maven 依赖发现是 Nacos 依赖了 FasterXML jackson-databind 2.13.3。

需要排除掉 Nacos 中的 jackson-databind 和 jackson-core 2.13.3 依赖,自己引入 2.14.0 以上版本

<!-- nacos 注册中心 -->
<dependency>
  <groupId>com.alibaba.nacos</groupId>
  <artifactId>nacos-client</artifactId>
  <version>2.2.0</version>
  <!-- 排除掉nacos依赖的有高危漏洞的2.13jackson,自己引入 2.14.0以上的  -->
  <exclusions>
    <exclusion>
      <groupId>com.fasterxml.jackson.core</groupId>
      <artifactId>jackson-databind</artifactId>
    </exclusion>
    <exclusion>
      <groupId>com.fasterxml.jackson.core</groupId>
      <artifactId>jackson-core</artifactId>
    </exclusion>
  </exclusions>
</dependency>
​
<!-- https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind -->
<dependency>
  <groupId>com.fasterxml.jackson.core</groupId>
  <artifactId>jackson-databind</artifactId>
  <version>2.14.2</version>
</dependency>

Spring Framework 身份认证绕过漏洞

发现是 spring-webmvc-5.3.20 的问题,查看 Maven 依赖,是 spring-boot-starter-web:2.7.0 引入。

image-20230526142002186

直接将项目的 spring boot 版本升级到 2.7.11

<parent>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-parent</artifactId>
  <version>2.7.11</version>
  <relativePath/> <!-- lookup parent from repository -->
</parent>

但升级之后下载不到 mysql-connector-java 的 jar包,因为我们没有指定版本。

手动指定 mysql-connector-java 的版本即可解决

<!-- mysql-->
<dependency>
  <groupId>mysql</groupId>
  <artifactId>mysql-connector-java</artifactId>
  <!--为了修复Spring Framework漏洞 将Spring boot版本升到2.7.11后,
  mysql-connector-java 找不到,只能指定版本-->
  <version>8.0.31</version>
  <scope>runtime</scope>
</dependency>

1

评论区