xfire1.2.6升级Spring版本

今天收到领导的邮件,关于Spring框架中存在多个安全漏洞预警的通知。漏洞描述

CV E-2018-1270漏洞:Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本,通过spring-m essaging和spring-websocket模块提供的基于W ebSocket的STO M P,攻击者可以通过建立W ebSocket连接并发送一条消息造成远程代码执行,从而实现远程代码执行攻击。
CV E-2018-1271漏洞:Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本,SpringM V C允许应用程序对其配置提供静态资源,在W indows系统上实现该功能时,攻击者通过请求构造的特定资源U RL,可能导致目录遍历的效果产生。
CV E-2018-1272漏洞:Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本,当SpringM V C或Spring W ebFlux服务器接受把客户端请求再转向另一台服务器的场景下,攻击者通过构造和污染M ultipart类型请求,可能对另一台服务器实现权限提升攻击。
漏洞相关的技术细节和验证程序已经公开,且漏洞相关PoC已经公开并证实可用,可能构成巨大的现实威胁。

1、受影响版本:
Spring Framework 5.0 to 5.0.4.

SpringFramework 4.3 to 4.3.14

已不支持的旧版本仍然受影响

2、处置建议

升级补丁:

5.0.x 用户升级到5.0.5版本

4.3.x 用户升级到4.3.15版本 

已不支持的旧版本,建议更新到4.3.15版本或5.0.5版本。

于是就开始Spring升级的苦逼之路,其他项目还算顺利但是到xfire服务时出问题,在这个接口服务中引用了spring-1.2.6.jar不知道这个是不是也需要升级呢不管三七二十一开干,中间有很多问题,在最大程度上保持代码不动的前提下,做了以下更改,直接上操作步骤

将项目下的spring-1.2.6.jar删除引入如下jar文件:
xfire1.2.6升级Spring版本_第1张图片
问题一:
Configuration problem: Old 1.x 'singleton' attribute in use - upgrade to 'scope

解决方式:修改xfire-spring-1.2.6.jar包中org/codehaus/xfire/spring/xfire.xml配置文件中
xfire1.2.6升级Spring版本_第2张图片
所有singleton="true"改成scope="singleton"。修改方式直接用压缩文件打开jar文件找到文件修改并保存。
问题二:
Unrecognized xbean element mapping:beans in namespace http://xfire.codehaus.org/config/1.0

修改xfire配置文件services.xml
xfire1.2.6升级Spring版本_第3张图片

修改后:
xfire1.2.6升级Spring版本_第4张图片
问题三:
cannot convert value of type 'org.codehaus.xfire.spring.editors.ServiceFactoryEditor' to .....

解决方式:修改修改xfire-spring-1.2.6.jar包中org/codehaus/xfire/spring/customEditors.xmll配置文件:
xfire1.2.6升级Spring版本_第5张图片
修改后:
xfire1.2.6升级Spring版本_第6张图片
 查看源码可以发现customEditors的类型,在spring2.0 中是Map类型,key和value的类型并不确定,但是底层处理的时候,key的类型必须是Class类型,而value是一个注入的bean;在spring4.0中,customEditors的类型变为了Map, Class>, 也就是说,key和value的类型已经确定为Class类型。
参考: https://blog.csdn.net/xinyoulin/article/details/52315810
最后成功启动项目。

你可能感兴趣的:(Spring)