背景
大家都知道我们使用Springboot开发后,无需再额外配置tomcat,因为Springboot已经帮我们内置好了tomcat。
这次在线上安全团队就扫出来了我们Springboot服务的tomcat漏洞:
可以看到这是2023年的洞,Apache Tomcat 安全漏洞(CVE-2024-50379)。
解决
通过调研,了解到其实我们只需要提高tomcat版本到9.0.98就可以解决漏洞。这里直接粘出来我们项目工程里面pom.xml需要修改的配置:
<properties>......<tomcat.version>9.0.98</tomcat.version></properties><dependencies>
......
<dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-core</artifactId><version>${tomcat.version}</version><exclusions><exclusion><artifactId>tomcat-annotations-api</artifactId><groupId>org.apache.tomcat</groupId></exclusion></exclusions>
</dependency>
<dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-el</artifactId><version>${tomcat.version}</version>
</dependency>
<dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-websocket</artifactId><version>${tomcat.version}</version><exclusions><exclusion><artifactId>tomcat-annotations-api</artifactId><groupId>org.apache.tomcat</groupId></exclusion></exclusions>
</dependency>
<dependencies>
这样我们再启动项目就可以发现我们的tomcat版本已经升到9.0.98了。
这样Apache Tomcat 安全漏洞(CVE-2024-50379)这个漏洞我们就解决了!