spring 升级记录

雄哥0072026-04-08 10:43

前序

我使用的了spring 6.1.6,使用框架是springboot + mybatis,然后被扫出了下面两个漏洞:

(1)Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243)

(2)Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38819)

解决方案就是升级spring,下面记录一下升级过程

一、打开你项目的根 pom.xml

1、找到 配置项中的 spring-boot-starter-parent 版本。

选择一个已修复漏洞的 Spring Boot 版本。为确保兼容性,建议使用最新的稳定版本。根据漏洞修复信息,Spring Boot 3.3.x 系列通常对应修复后的 Spring Framework 6.1.x 版本。

例如,将 spring-boot-starter-parent 的版本升级到 3.3.4 或更高版本。

修改后,在项目根目录执行 mvn clean install,Maven 会自动引入对应版本的 Spring Framework,问题即可解决。

这里我的版本有3.2.5升级到3.3.4了,如下:

bash 复制代码 
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
<!--        <version>3.2.5</version> -->
        <version>3.3.4</version>
    </parent>

2、 升级后,运行时报错:

升级 Spring Boot 到 3.3.4 后出现 NoClassDefFoundError: org/springframework/boot/web/servlet/support/SpringBootServletInitializer,主要一种可能原因,就是jdk版本低了

Spring Boot 3.x 要求 Java 17 或更高版本。

如果你的 pom.xml 中仍配置为 Java 1.8,请改成17或者21

bash 复制代码 
<plugin>
    <groupId>org.apache.maven.plugins</groupId>
    <artifactId>maven-compiler-plugin</artifactId>
    <configuration>
        <source>1.8</source>
        <target>1.8</target>
    </configuration>
</plugin>

改成

bash 复制代码 
<plugin>
    <groupId>org.apache.maven.plugins</groupId>
    <artifactId>maven-compiler-plugin</artifactId>
    <configuration>
        <source>17</source>
        <target>17</target>
        <encoding>UTF-8</encoding>
    </configuration>
</plugin>

3 logback-spring.xml 报错

bash 复制代码 
Logging system failed to initialize using configuration from 'null'
java.lang.IllegalStateException: Logback configuration error detected: 
ERROR in ch.qos.logback.core.model.processor.ImplicitModelHandler - Could not create component [timeBasedFileNamingAndTriggeringPolicy] of type [ch.qos.logback.core.rolling.SizeAndTimeBasedFNATP] java.lang.ClassNotFoundException: ch.qos.logback.core.rolling.SizeAndTimeBasedFNATP

解决方案:

你需要修改项目的 Logback 配置文件(通常是 src/main/resources 目录下的 logback-spring.xml 或 logback.xml),将旧的配置替换为新的方式。

步骤一:修改滚动策略配置

你需要找到配置文件中的 部分,并按照下面的示例进行替换。

需要修改的旧配置示例:

bash 复制代码 
<rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
    <fileNamePattern>${LOG_HOME}/%d{yyyy-MM-dd}.%i.log</fileNamePattern>
    <timeBasedFileNamingAndTriggeringPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedFNATP">
        <maxFileSize>10MB</maxFileSize>
    </timeBasedFileNamingAndTriggeringPolicy>
    <maxHistory>30</maxHistory>
</rollingPolicy>

替换为的新配置示例:

bash 复制代码 
<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
    <fileNamePattern>${LOG_HOME}/%d{yyyy-MM-dd}.%i.log</fileNamePattern>
    <maxFileSize>10MB</maxFileSize>
    <maxHistory>30</maxHistory>
    <totalSizeCap>3GB</totalSizeCap>
</rollingPolicy>

修改说明:

将 rollingPolicy 的 class 属性改为 ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy。

移除整个 标签及其内容。

将原来在 triggeringPolicy 中的 标签,直接放在 标签内。

(可选)可以添加 来限制所有日志文件的总大小,防止磁盘被写满。

相关推荐
JAVA学习通8 分钟前
《大营销平台系统设计实现》 - 营销服务 第5节:抽奖前置规则过滤
java·数据库·github
斯特凡今天也很帅11 分钟前
新建数据源报错No bean named ‘SqlSessionFactorykf‘ available
java·数据库·spring boot·mybatis
带刺的坐椅11 分钟前
用 Solon AI 从零构建 MCP 工具服务:让 AI Agent 拥有真实世界的能力
java·ai·solon·mcp·solon-ai
TheRouter16 分钟前
PromptCaching 工程实践:把LLM 调用成本砍掉80%
java·后端·spring·ai
寻道码路17 分钟前
LangChain4j Java AI 应用开发实战(二):大模型参数调优实战:Temperature、TopP、MaxTokens 深度解析
java·开发语言·人工智能·aigc
Gopher_HBo19 分钟前
Go pprof性能剖析
后端
XiYang-DING24 分钟前
【Spring】 Ajax
spring·ajax·okhttp
IT策士27 分钟前
Django 从 0 到 1 打造完整电商平台:个人中心与用户信息修改
后端·python·django
小明同学0131 分钟前
C++后端项目:统一大模型接入 SDK(五)
服务器·c++·后端·计算机网络·语言模型
SimonKing32 分钟前
IP定位库的完美替代品:ip2region,开源、免费!
java·后端·程序员
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03CC-Switch & Claude 基于 Linux 服务器安装使用指南04【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法05【AI】2026 年具身智能模型和世界模型总结06几个好用的ip纯净度检测网站07裂开!ChatGPT 居然开始要手机号验证,附详细解决方法08装上就回不去了:CodeGraph 让 AI 编程效率飙升 92%,它到底做了什么?09用了半年 OpenRouter,我换到了 Ofox.ai — 两个 AI API 聚合平台的真实对比10codex app每次打开重连5次Reconnecting问题解决