Springboot内置Apache Tomcat 安全漏洞(CVE-2024-50379)

背景

大家都知道我们使用Springboot开发后,无需再额外配置tomcat,因为Springboot已经帮我们内置好了tomcat。

这次在线上安全团队就扫出来了我们Springboot服务的tomcat漏洞:

可以看到这是2023年的洞,Apache Tomcat 安全漏洞(CVE-2024-50379)。

解决

通过调研,了解到其实我们只需要提高tomcat版本到9.0.98就可以解决漏洞。这里直接粘出来我们项目工程里面pom.xml需要修改的配置:

复制代码
<properties>
		......
		<tomcat.version>9.0.98</tomcat.version>
	</properties>
	
	
<dependencies>
......
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-core</artifactId>
   <version>${tomcat.version}</version>
   <exclusions>
      <exclusion>
         <artifactId>tomcat-annotations-api</artifactId>
         <groupId>org.apache.tomcat</groupId>
      </exclusion>
   </exclusions>
</dependency>
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-el</artifactId>
   <version>${tomcat.version}</version>
</dependency>
<dependency>
   <groupId>org.apache.tomcat.embed</groupId>
   <artifactId>tomcat-embed-websocket</artifactId>
   <version>${tomcat.version}</version>
   <exclusions>
      <exclusion>
         <artifactId>tomcat-annotations-api</artifactId>
         <groupId>org.apache.tomcat</groupId>
      </exclusion>
   </exclusions>
</dependency>
<dependencies>

这样我们再启动项目就可以发现我们的tomcat版本已经升到9.0.98了。

这样Apache Tomcat 安全漏洞(CVE-2024-50379)这个漏洞我们就解决了!

相关推荐
咖啡教室2 小时前
java日常开发笔记和开发问题记录
java
咖啡教室2 小时前
java练习项目记录笔记
java
鱼樱前端3 小时前
maven的基础安装和使用--mac/window版本
java·后端
RainbowSea3 小时前
6. RabbitMQ 死信队列的详细操作编写
java·消息队列·rabbitmq
RainbowSea3 小时前
5. RabbitMQ 消息队列中 Exchanges(交换机) 的详细说明
java·消息队列·rabbitmq
李少兄5 小时前
Unirest:优雅的Java HTTP客户端库
java·开发语言·http
此木|西贝5 小时前
【设计模式】原型模式
java·设计模式·原型模式
可乐加.糖5 小时前
一篇关于Netty相关的梳理总结
java·后端·网络协议·netty·信息与通信
s9123601015 小时前
rust 同时处理多个异步任务
java·数据库·rust
9号达人5 小时前
java9新特性详解与实践
java·后端·面试