Springboot内置Apache Tomcat 安全漏洞(CVE-2024-50379)

背景

大家都知道我们使用Springboot开发后,无需再额外配置tomcat,因为Springboot已经帮我们内置好了tomcat。

这次在线上安全团队就扫出来了我们Springboot服务的tomcat漏洞:

可以看到这是2023年的洞,Apache Tomcat 安全漏洞(CVE-2024-50379)。

解决

通过调研,了解到其实我们只需要提高tomcat版本到9.0.98就可以解决漏洞。这里直接粘出来我们项目工程里面pom.xml需要修改的配置:

复制代码
<properties>
		......
		<tomcat.version>9.0.98</tomcat.version>
	</properties>
	
	
<dependencies>
......
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-core</artifactId>
   <version>${tomcat.version}</version>
   <exclusions>
      <exclusion>
         <artifactId>tomcat-annotations-api</artifactId>
         <groupId>org.apache.tomcat</groupId>
      </exclusion>
   </exclusions>
</dependency>
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-el</artifactId>
   <version>${tomcat.version}</version>
</dependency>
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-websocket</artifactId>
   <version>${tomcat.version}</version>
   <exclusions>
      <exclusion>
         <artifactId>tomcat-annotations-api</artifactId>
         <groupId>org.apache.tomcat</groupId>
      </exclusion>
   </exclusions>
</dependency>
<dependencies>

这样我们再启动项目就可以发现我们的tomcat版本已经升到9.0.98了。

这样Apache Tomcat 安全漏洞(CVE-2024-50379)这个漏洞我们就解决了!

相关推荐
刘一说13 分钟前
Spring Boot 主程序入口与启动流程深度解析:从 `@SpringBootApplication` 到应用就绪
java·spring boot·后端
eguid_129 分钟前
【从零开始开发远程桌面连接控制工具】01-项目概述与架构设计
java·远程连接·远程控制·远程桌面·vnc·teamviewer
一 乐30 分钟前
车辆管理|校园车辆信息|基于SprinBoot+vue的校园车辆管理系统(源码+数据库+文档)
java·前端·数据库·vue.js·论文·毕设·车辆管理
没有余地 EliasJie34 分钟前
一站式搭建WordPress网站与Nginx RTMP流媒体服务
nginx·apache
百锦再43 分钟前
Python、Java与Go:AI大模型时代的语言抉择
java·前端·vue.js·人工智能·python·go·1024程序员节
王火火(DDoS CC防护)1 小时前
如何判断服务器是否遭受攻击?
服务器·web安全·网络安全·ddos攻击
二十雨辰1 小时前
[作品集]-容易宝
java·开发语言·前端
沐浴露z1 小时前
一篇文章详解Kafka Broker
java·分布式·kafka
Nero182 小时前
代码随想录二刷第二十一天 | 222.完全二叉树的节点个数、110.平衡二叉树、257. 二叉树的所有路径、404. 左叶子之和、513.找树左下角的值
java
扶苏-su2 小时前
Java---StringBuilder
java·开发语言