Spring-web 5.3.x 漏洞

Spring-web 5.3.x vulnerabilities

提问人:Nathan 提问时间:11/16/2023 最后编辑:Nathan 更新时间:11/17/2023 访问量:28

问:

我需要修复我们项目的一些漏洞。我们使用 Java 11 和 Spring boot 2.7.3。其中一个漏洞在 Spring-web 5.3.x 中,我意识到我们至少需要 spring-web 6 来消除这个漏洞。但是,spring-web 6 至少需要 java 17,我们现在真的不想更改 java 版本。 以下是该漏洞的链接:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000027

问:有没有办法在不更改 Java 版本的情况下修复此漏洞?谢谢!

Java Spring spring-Boot 安全性

评论

2赞 Marsroverr 11/16/2023
在不知道具体漏洞的情况下,这里唯一的答案是“不,更新到修补版本”。在某些特定情况下,您可以采取一种解决方法来缓解漏洞,但在不知道确切漏洞的情况下,不太可能也不可能说
0赞 M. Deinum 11/16/2023
对于初学者,请更新到 Spring Boot 2.7.17,如果您真的受到漏洞的影响,请进行一些调查(因为我对此表示高度怀疑)。漏洞扫描非常愚蠢,它们看不到上下文或代码的用法(或不使用),它们只看到依赖项并被触发。如果 CVE 中描述的情况不适用,则您不会受到攻击(对于 CVE)。
0赞 Nathan 11/17/2023
cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000027 这是漏洞。
0赞 M. Deinum 11/17/2023
如前所述,升级到 Spring Boot 2.7.17,它有 Spring 5.3.30(我认为),其中应该修复 ist。除此之外,除非您正在使用 or 它的朋友,否则您甚至可能不容易受到攻击,我非常怀疑您是否这样做。HttpInvoker

答: 暂无答案

上一个:Bootstrap Datepicker 无法设置开始/结束日期

下一个:物品监控 - 防盗保护 |树莓派