XStream漏洞升级版本
1、场景,投产漏洞扫描修复
2、修复建议
针对使用到 XStream 组件的 web 服务升级至最新版本:http://x-stream.github.io/changes.html
受影响的版本:
XStream <= 1.4.17
安全版本:
XStream >= 1.4.18
3、修复代码
(1)查找依赖在那个pom.xml引入的,在pom.xml里没找到可以在 idea tearminal 中执行maven命令查找
mvn dependency:tree -Dincludes=com.thoughtworks.xstream
(2)排除spring-cloud-starter-netflix-eureka-client包里的子依赖,然后单独引入xstream版本
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
<exclusions>
<exclusion>
<groupId>com.thoughtworks.xstream</groupId>
<artifactId>xstream</artifactId>
</exclusion>
</exclusions>
</dependency>
<!--XStream 高危漏洞修复-->
<dependency>
<groupId>com.thoughtworks.xstream</groupId>
<artifactId>xstream</artifactId>
<version>1.4.19</version>
</dependency>
4、可以看到打完包后的应用服务jar包里XStream包已经升级为1.4.19,漏洞修复完成
原文地址:https://blog.csdn.net/yuchenai/article/details/142789209
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!