当前位置: 首页 > 知识库问答 >
问题:

我是否可以将Spring框架升级到 5.3.18 以避免 CVE-2022-22965?

东方琪
2023-03-14

我用的是spring 5.3.16,spring boot 2.2.10.RELEASE,spring cloud 2.2.10.RELEASE用的是spring-cloud-网飞-zuul,那么,我可以只升级spring版本到5.3.18,而不升级其他框架吗?

共有1个答案

慕志泽
2023-03-14

Spring Boot 2.2.x现已停产,可能包含影响您的其他安全修补程序。Spring Boot 2 . 2 . 10 . release使用Spring框架。

如果您使用的是Spring Framework < code > 5.3 . x ,不管这个CVE如何,这都不是一个真正受支持的场景。你应该使用Spring Framework < code > 5.2 . x 。为此,我们发布了Spring Framework 5 . 2 . 20。

当然,为了真正安全,您应该升级到支持的版本。

 类似资料:
  • 是否存在CVE-2022-21449可能导致黑客/滥用的情况? 我在spring security和java的github repo上展示了这一点。安全性被广泛使用,但我不知道库中的使用如何导致安全缺陷。

  • 问题内容: 我使用一个简单的cms作为我网站的后端,在那里我可以更新新闻等。我想对SQL注入安全,所以我想知道这段代码是否被认为是安全的,或者是否可以做一些使其更安全的事情: 谢谢,祝你有美好的一天! 问题答案: 您没有在消毒 。 做一个就可以了,或(更好)拒绝共处理如果ID不是整数(假设ID是一个字段)。

  • 我一直在思考jvm安全的工作方式。原则是,jvm始终信任并运行任何本地代码。因此,从概念上讲,如果您的代码没有显式或隐式调用<code>checkpermission(permission)</code>,这意味着它永远不会失败任何安全验证。当然,所有这些验证调用通常都是在JavaAPI类中完成的,因此我们不需要为内置权限调用它们。 现在,只要您使用内置类(如<code>FileOutputStr

  • 我已经能够升级angularjs元素指令以用于angular 4。下面是一个示例代码: [myScores.js] [myScores.ts] 请注意,我正在使用 UpgradeComponent 来升级 myScores 元素指令。我已经在属性指令上尝试了相同的方法,但得到了一个错误。有没有办法升级属性指令? 下面是我升级属性指令的尝试: [绿色.js] [makeGreen.ts] 当加载一个

  • 问题内容: 我有一个为Python 2.5创建的virtualenv,想将其“升级”到Python 2.6。 最初是这样设置的: 我现在在同一目录中运行virtualenv进行升级: 即使我也可以指定2.6,默认的python仍然是2.5。有什么办法可以完全 删除 2.5并将’bin / python’指向2.6吗? 问题答案: 您可以使用Python 2.6 virtualenv来“虚拟”现有目

  • Facebook React鼓励您将可变()和不可变()状态分开: 尽量让您的组件尽可能多的无状态。通过这样做,您可以将状态隔离到最符合逻辑的位置,并最大限度地减少冗余,从而更容易对应用程序进行推理。 当状态改变时,您应该调用来触发虚拟DOM diff,只有在需要时才会导致真正的DOM更新。 有一种方法可以通过调用手动触发DOM更新,但不鼓励: 通常情况下,您应该尽量避免使用,并且只从和中的读取。