【漏洞通告】
2月19日,nvd發布安全通告披露了jackson-databind由jndi注入導致的遠端**執行
漏洞(cve-
2020
-8840),cvss評分為9.8 。受影響版本的jackson-databind中由於缺少
某些xbean-reflect/jndi黑名單類,如org.apache.xbean.propertyeditor.jndiconverter,
可導致攻擊者使用jndi注入的方式實現遠端**執行。目前廠商已發布新版本完成漏洞修復,
請相關使用者及時公升級進行防護。
由於專案中用到的springboot版本為2.1.3,自帶的jackson版本為2.9.8,低於安全版本
2.9.10.6,所以需要公升級jackson的版本。
修改springboot中jackson版本
在專案的pom.xml中properties標籤下新增jackson.version屬性
若只想修改jackson-databind版本,新增jackson.version.databind屬性即可
$
<
/jackson.version.databind>
springboot指定配置
springboot可以有多個配置檔案,也可以指定其中乙個配置。我們先看下面這個例子 aaa 111如果在bean裡這樣取值 value value private string hello 那麼最終會取出乙個111.乙個非常普通的例子。但有時候我們的環境需要改變,某些配置需要切換,那麼該怎麼辦呢?...
從早期 Spring Boot 版本公升級
當乙個新的版本發布的時候,一些屬性可能會被重新命名或者刪除。spring boot 同時也提供了乙個供你分析你應用程式環境和在啟動的時候列印診斷資訊的方法,同時還嘗試幫助你在執行的時候為你整合屬性。如果你希望啟用這個特性,請在你的專案中新增下面的依賴 dependency groupid org.s...
Spring boot指定日誌配置
給類路徑下,放上每個日誌框架,自己的配置檔案即可 springboot就不使用,預設配置的了 直接就被日誌框架識別了 logback spring.xml 日誌框架,不直接載入日誌的配置項 由springboot解析日誌配置 可以使用springboot的高階profile功能 可以指定某段配置只在...