Springboot内置Apache Tomcat 安全漏洞(CVE-2024-50379)

背景

大家都知道我们使用Springboot开发后,无需再额外配置tomcat,因为Springboot已经帮我们内置好了tomcat。

这次在线上安全团队就扫出来了我们Springboot服务的tomcat漏洞:

可以看到这是2023年的洞,Apache Tomcat 安全漏洞(CVE-2024-50379)。

解决

通过调研,了解到其实我们只需要提高tomcat版本到9.0.98就可以解决漏洞。这里直接粘出来我们项目工程里面pom.xml需要修改的配置:

复制代码
<properties>
		......
		<tomcat.version>9.0.98</tomcat.version>
	</properties>
	
	
<dependencies>
......
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-core</artifactId>
   <version>${tomcat.version}</version>
   <exclusions>
      <exclusion>
         <artifactId>tomcat-annotations-api</artifactId>
         <groupId>org.apache.tomcat</groupId>
      </exclusion>
   </exclusions>
</dependency>
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-el</artifactId>
   <version>${tomcat.version}</version>
</dependency>
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-websocket</artifactId>
   <version>${tomcat.version}</version>
   <exclusions>
      <exclusion>
         <artifactId>tomcat-annotations-api</artifactId>
         <groupId>org.apache.tomcat</groupId>
      </exclusion>
   </exclusions>
</dependency>
<dependencies>

这样我们再启动项目就可以发现我们的tomcat版本已经升到9.0.98了。

这样Apache Tomcat 安全漏洞(CVE-2024-50379)这个漏洞我们就解决了!

相关推荐
一只猿Hou15 分钟前
java分页插件| MyBatis-Plus分页 vs PageHelper分页:全面对比与最佳实践
java·mybatis
Zz_waiting.19 分钟前
Javaweb - 10.1 Servlet
servlet·tomcat·javaweb
程序员弘羽21 分钟前
C++ 第四阶段 内存管理 - 第二节:避免内存泄漏的技巧
java·jvm·c++
旷世奇才李先生25 分钟前
Tomcat 安装使用教程
java·tomcat
勤奋的知更鸟38 分钟前
Java 编程之策略模式详解
java·设计模式·策略模式
qq_49244844640 分钟前
Java 访问HTTP,信任所有证书,解决SSL报错问题
java·http·ssl
大只鹅41 分钟前
Springboot3.3.4使用spring-data-elasticsearch整合Elasticsearch7.12.1
spring boot·elasticsearch
爱上语文43 分钟前
Redis基础(4):Set类型和SortedSet类型
java·数据库·redis·后端
lifallen1 小时前
Paimon vs. HBase:全链路开销对比
java·大数据·数据结构·数据库·算法·flink·hbase
1.01^10001 小时前
[6-02-01].第05节:配置文件 - YAML配置文件语法
spring boot