Spring Frameworkバージョンアップ(Spring boot)
Spring Frameworkの任意のコード実行の脆弱性(CVE-2022-22965)について
www.jpcert.or.jp
JPCERTでSpring Frameworkの脆弱性が見つかったのでバージョンアップしました。
対象
- Spring Framework 5.3.0から5.3.17
- Spring Framework 5.2.0から5.2.19
条件
- JDK 9以上を使用している
- Apache Tomcatをサーブレットコンテナーとして使用している
- WAR形式でデプロイされている
- プログラムがspring-webmvcあるいはspring-webfluxに依存している
対策
- Spring Framework 5.3.18およびそれ以降にバージョンアップ
- Spring Framework 5.2.20およびそれ以降にバージョンアップ
バージョンアップ
Spring bootとSpring Frameworkの対応表がありました。※パッチバージョンの記載はないようです。
Spring FrameworkとSpring Bootのいろんな対応表 - Qiita
備忘録として。 Spring Framework バージョン GA 対応Javaバージョン 4.3 2016年1月 6~8 5.0 2017年9月 8~10 5.1 2018年9月 8~12 5.2 2019年1月 8~15 5.3 202...
qiita.com
| Spring boot | Spring Framework |
|---|---|
| 2.6.6 | 5.3.18 |
| 2.5.12 | 5.3.18 |
| 2.4.13 | 5.3.13 |
| 2.3.12.RELEASE | 5.2.15.RELEASE |
| 2.2.5.RELEASE | 5.2.4.RELEASE |
build.gradleのSpring bootのバージョンを変更して「Gradle Projectのリフレッシュ」を行います。
plugins {
id 'org.springframework.boot' version '2.6.6' // ★
id 'io.spring.dependency-management' version '1.0.11.RELEASE'
id 'java'
}
dependencies {
implementation 'org.springframework.boot:spring-boot-starter-web'
}
EclipseでSpring Frameworkバージョン確認方法
Gradleプロジェクトで、「プロジェクトと外部の依存関係」が表示されるので、その中にあるspring-aop、spring-beans、spring-coreなどはみなSpring Frameworkのjarです。
そのjarの右横に記載されているのがバージョンです。
※GradleWrapperが古い場合エラーとなる場合があるので、Wrapperのバージョンアップも必要なケースがあります
KHI入社して退社。今はCONFRAGEで正社員です。関西で140-170/80~120万から受け付けております^^
得意技はJS(ES20xx),Java,AWSの大体のリソースです
コメントはやさしくお願いいたします^^
座右の銘は、「狭き門より入れ」「願わくは、我に七難八苦を与えたまえ」です^^
コメント