欢迎光临散文网 会员登陆 & 注册

java XStream更新

2022-03-29 16:32 作者:程序员onejson  | 我要投稿


漏洞详情

XStream 是一个常用的 Java 对象和 XML 相互转换的工具。近日 XStream 官方发布安全更新,修复了高危和严重漏洞如下:


Version 1.4.17

CVE-2021-39139 任意代码执行漏洞

CVE-2021-39140 可能导致拒绝服务

CVE-2021-39141 任意代码执行漏洞

CVE-2021-39144 远程命令执行漏洞

CVE-2021-39145 任意代码执行漏洞

CVE-2021-39146 任意代码执行漏洞

CVE-2021-39147 任意代码执行漏洞

CVE-2021-39148 任意代码执行漏洞

CVE-2021-39149 任意代码执行漏洞

CVE-2021-39150 SSRF漏洞(服务端请求伪造漏洞)

CVE-2021-39151 任意代码执行漏洞

CVE-2021-39152 SSRF漏洞(服务端请求伪造漏洞)

CVE-2021-39153 任意代码执行漏洞

CVE-2021-39154 任意代码执行漏洞


打算把 XStream升级到1.4.18


下载链接

http://x-stream.github.io/download.html


在idea中全文件搜索xstream中没有搜索到,可以在 idea tearminal 中执行命令,查找对应的依赖


```bash

mvn dependency:tree

```


我这边是根据阿里云漏洞提示的微服务模块,去对应的 pom下,利用 maven helper 插件查找到的,spring-cloud-starter-eureka依赖下的子依赖 XStream



<dependency>

            <groupId>org.springframework.cloud</groupId>

            <artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>

            <exclusions>

                <exclusion>

                    <groupId>com.thoughtworks.xstream</groupId>

                    <artifactId>xstream</artifactId>

                </exclusion>

            </exclusions>

        </dependency>


这里我们在这边利用 exclusion 排除 spring-cloud-starter-netflix-eureka-client 的子依赖,然后再单独引入下即可



   <dependency>

            <groupId>com.thoughtworks.xstream</groupId>

            <artifactId>xstream</artifactId>

            <version>1.4.19</version>

   </dependency>



重新打包上传,完美解决


标签:

java XStream更新的评论 (共 条)

分享到微博请遵守国家法律