Eclipse Jetty Server 安全漏洞
Eclipse Jetty Server 安全漏洞
1、 问题:
最近给一个客户部署项目,但是客户的安全稽核有点变态。 居然说 Eclipse Jetty Server 高危漏洞!
2、分析
然后回到工程项目,看了下我们的项目的jetty 版本是 9.4.10.v20180503. 确认是撞上了客户的安全稽核了。
于是,查询项目哪个地方引用了 Eclipse Jetty Server。 在一个 job-center-core 的jar 包有引用。 里面修改里面的jetty 版本。
再引入到工程,然则无奈,不生效。 MOBI 缘故?
拿一个空的工程,添加 job-center-core 依赖,显示 Eclipse Jetty Server 正确。 但是,添加到 我自己的目标工程,依然是 9.4.10.v20180503.
综合分析所得, jetty 在自己的spring-boot 工程一定有其他地方依赖,影响了 job-center-core 包的传递依赖版本。
3、解决方案
终极解决方案: 指定工程的 Eclipse Jetty Server 的精准版本,这样解决一切! 在根目录的 pom.xml 文件中添加如下
<dependencyManagement> <dependencies> <dependency> <groupId>org.eclipse.jetty</groupId> <artifactId>jetty-server</artifactId> <version>9.4.11.v20180605</version> </dependency> </dependencyManagement>
上一篇:
IDEA上Java项目控制台中文乱码