Springboot内置Apache Tomcat 安全漏洞(CVE-2024-50379)

背景

大家都知道我们使用Springboot开发后,无需再额外配置tomcat,因为Springboot已经帮我们内置好了tomcat。

这次在线上安全团队就扫出来了我们Springboot服务的tomcat漏洞:

可以看到这是2023年的洞,Apache Tomcat 安全漏洞(CVE-2024-50379)。

解决

通过调研,了解到其实我们只需要提高tomcat版本到9.0.98就可以解决漏洞。这里直接粘出来我们项目工程里面pom.xml需要修改的配置:

复制代码
<properties>
		......
		<tomcat.version>9.0.98</tomcat.version>
	</properties>
	
	
<dependencies>
......
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-core</artifactId>
   <version>${tomcat.version}</version>
   <exclusions>
      <exclusion>
         <artifactId>tomcat-annotations-api</artifactId>
         <groupId>org.apache.tomcat</groupId>
      </exclusion>
   </exclusions>
</dependency>
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-el</artifactId>
   <version>${tomcat.version}</version>
</dependency>
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-websocket</artifactId>
   <version>${tomcat.version}</version>
   <exclusions>
      <exclusion>
         <artifactId>tomcat-annotations-api</artifactId>
         <groupId>org.apache.tomcat</groupId>
      </exclusion>
   </exclusions>
</dependency>
<dependencies>

这样我们再启动项目就可以发现我们的tomcat版本已经升到9.0.98了。

这样Apache Tomcat 安全漏洞(CVE-2024-50379)这个漏洞我们就解决了!

相关推荐
Flittly15 小时前
【AgentScope Java新手村系列】(16)从RAG到多路检索
java·spring boot·spring
小兔崽子去哪了15 小时前
Java 生成二维码解决方案
java·后端
人活一口气19 小时前
从JVM调优到MCP协议:Java全栈技术体系深度总结与企业级架构实践
java·spring boot
NE_STOP21 小时前
Vibe Coding -- 完整项目案例实操
java
荣码21 小时前
GraphRAG:普通RAG只能回答"点"的问题,我踩了4个坑才搞懂
java·python
SimonKing21 小时前
Google第三方授权登录
java·后端·程序员
明月光81821 小时前
从一行 @Builder 说起:重新拾起 Java 的 Lombok、注解与 Builder 模式
java
考虑考虑1 天前
Mybatis实现批量插入
java·后端·mybatis
咖啡八杯1 天前
GoF设计模式——中介者模式
java·后端·spring·设计模式
青石路1 天前
记一次多JDK版本问题的排查,一坑套一坑,差点没爬上来
java