脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → springboot内嵌Tomcat安全漏洞修复

springboot内嵌Tomcat安全漏洞修复方式

 更新时间:2024年10月08日 09:11:37   作者:lzh_me  
针对CVE-2020-1938漏洞,建议升级Tomcat至安全版本以避免受影响,影响版本包括:Apache Tomcat 9.x小于9.0.31、Apache Tomcat 8.x小于8.5.51、Apache Tomcat 7.x小于7.0.100及Apache Tomcat 6.x,

springboot内嵌Tomcat安全漏洞修复

漏洞扫描提示的是tomcat-embed-core[CVE-2020-1938],解决方式是升级tomcat的版本。

该漏洞影响的版本

  • Apache Tomcat 9.x < 9.0.31
  • Apache Tomcat 8.x < 8.5.51
  • Apache Tomcat 7.x < 7.0.100
  • Apache Tomcat 6.x

其余的安全漏洞也可以通过升级版本的方式解决,或者找对应tomcat版本的修复补丁,这里只是介绍版本升级。

问题的关键点是如何升级Springboot内嵌的tomcat版本。

1、确认内嵌tomcat的版本

通过mvn dependency:tree命令

首先进入项目的目录,一定是项目的目录,cmd窗口或者IDEA的Terminal窗口运行:

mvn dependency:tree > tree.txt

命令运行结果:

打开txt文本:

PS:我这是升级版本号之后的运行结果,我之前的版本是9.0.16

2、升级版本

Springboot升级内嵌tomcat的方法是在pom.xml中添加<tomcat.version>9.0.37</tomcat.version>

<properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
		<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
		<java.version>1.8</java.version>
		<tomcat.version>9.0.37</tomcat.version>
</properties>

这种方式只是针对Springboot项目。

也可以通过先排除后引入的方式升级:

<dependency>
			<groupId>org.springframework.cloud</groupId>
			<artifactId>spring-cloud-starter-netflix-eureka-server</artifactId>
			<exclusions>
				<exclusion>
					<groupId>org.apache.tomcat.embed</groupId>
					<artifactId>tomcat-embed-core</artifactId>
				</exclusion>
				<exclusion>
					<groupId>org.apache.tomcat.embed</groupId>
					<artifactId>tomcat-embed-el</artifactId>
				</exclusion>
				<exclusion>
					<groupId>org.apache.tomcat.embed</groupId>
					<artifactId>tomcat-embed-websocket</artifactId>
				</exclusion>
			</exclusions>
		</dependency>

		<dependency>
			<groupId>org.apache.tomcat.embed</groupId>
			<artifactId>tomcat-embed-core</artifactId>
			<version>9.0.37</version>
			<scope>compile</scope>
			<optional>true</optional>
		</dependency>
		<dependency>
			<groupId>org.apache.tomcat.embed</groupId>
			<artifactId>tomcat-embed-el</artifactId>
			<version>9.0.37</version>
			<scope>compile</scope>
			<optional>true</optional>
		</dependency>

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

您可能感兴趣的文章:

相关文章

  • Java报错:UnsupportedOperationException in Collections的解决方案

    Java报错:UnsupportedOperationException in Collection

    在Java编程中,UnsupportedOperationException是一种常见的运行时异常,通常在试图对不支持的操作执行修改时发生,它表示当前操作不被支持,本文将深入探讨UnsupportedOperationException的产生原因,并提供具体的解决方案和最佳实践,需要的朋友可以参考下
    2024-06-06
  • java 实现图片像素质量压缩与图片长宽缩放

    java 实现图片像素质量压缩与图片长宽缩放

    这篇文章主要介绍了java 实现图片像素质量压缩与图片长宽缩放,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-11-11
  • SpringCloud链路追踪组件Sleuth配置方法解析

    SpringCloud链路追踪组件Sleuth配置方法解析

    这篇文章主要介绍了SpringCloud链路追踪组件Sleuth配置方法解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-03-03
  • 详解Spring Boot应用的启动和停止(start启动)

    详解Spring Boot应用的启动和停止(start启动)

    这篇文章主要介绍了详解Spring Boot应用的启动和停止(start启动),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-12-12
  • 深入浅析SSH的三个组件ssh、sftp、scp

    深入浅析SSH的三个组件ssh、sftp、scp

    SSH 包含3个组件,文中给大家详细提到。这篇文章主要介绍了SSH的三个组件ssh、sftp、scp ,需要的朋友可以参考下
    2018-10-10
  • java校验json的格式是否符合要求的操作方法

    java校验json的格式是否符合要求的操作方法

    在日常开发过程中,会有这样的需求,校验某个json是否是我们想要的数据格式,这篇文章主要介绍了java校验json的格式是否符合要求,需要的朋友可以参考下
    2023-04-04
  • mybatis查询结果返回至实体类的示例代码

    mybatis查询结果返回至实体类的示例代码

    这篇文章主要介绍了mybatis查询结果返回至实体类的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2020-07-07
  • 基于线程池的工作原理与源码解读

    基于线程池的工作原理与源码解读

    下面小编就为大家分享一篇基于线程池的工作原理与源码解读,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2017-12-12
  • 深入了解Java atomic原子类的使用方法和原理

    深入了解Java atomic原子类的使用方法和原理

    这篇文章主要介绍了深入了解Java atomic原子类的使用方法和原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,,需要的朋友可以参考下
    2019-06-06
  • SpringBoot整合DeepSeek实现AI对话功能

    SpringBoot整合DeepSeek实现AI对话功能

    本文介绍了如何在SpringBoot项目中整合DeepSeek API和本地私有化部署DeepSeekR1模型,通过SpringAI框架简化了人工智能模型的集成,感兴趣的小伙伴跟着小编一起来看看吧
    2025-02-02

最新评论