Spring Frameworkバージョンアップ(Spring boot)
Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について
JPCERTでSpring Frameworkの脆弱性が見つかったのでバージョンアップしました。
対象
- Spring Framework 5.3.0から5.3.17
- Spring Framework 5.2.0から5.2.19
条件
- JDK 9以上を使用している
- Apache Tomcatをサーブレットコンテナーとして使用している
- WAR形式でデプロイされている
- プログラムがspring-webmvcあるいはspring-webfluxに依存している
対策
- Spring Framework 5.3.18およびそれ以降にバージョンアップ
- Spring Framework 5.2.20およびそれ以降にバージョンアップ
バージョンアップ
Spring bootとSpring Frameworkの対応表がありました。※パッチバージョンの記載はないようです。
Spring FrameworkとSpring Bootのいろんな対応表 - Qiita
備忘録として。Spring Framework対応Javaバージョンについてはレンジで書いているが、基本的にLTSリリース(8, 11, 17, 23, , ,)を使うことが推奨されている模様。2022年10月現在、LTSリリース周期を3年...
Spring boot | Spring Framework |
---|---|
2.6.6 | 5.3.18 |
2.5.12 | 5.3.18 |
2.4.13 | 5.3.13 |
2.3.12.RELEASE | 5.2.15.RELEASE |
2.2.5.RELEASE | 5.2.4.RELEASE |
build.gradleのSpring bootのバージョンを変更して「Gradle Projectのリフレッシュ」を行います。
plugins { id 'org.springframework.boot' version '2.6.6' // ★ id 'io.spring.dependency-management' version '1.0.11.RELEASE' id 'java' } dependencies { implementation 'org.springframework.boot:spring-boot-starter-web' }
EclipseでSpring Frameworkバージョン確認方法
Gradleプロジェクトで、「プロジェクトと外部の依存関係」が表示されるので、その中にあるspring-aop、spring-beans、spring-coreなどはみなSpring Frameworkのjarです。
そのjarの右横に記載されているのがバージョンです。
※GradleWrapperが古い場合エラーとなる場合があるので、Wrapperのバージョンアップも必要なケースがあります
KHI入社して退社。今はCONFRAGEで正社員です。関西で140-170/80~120万から受け付けております^^
得意技はJS(ES6),Java,AWSの大体のリソースです
コメントはやさしくお願いいたします^^
座右の銘は、「狭き門より入れ」「願わくは、我に七難八苦を与えたまえ」です^^
コメント