Spring Frameworkバージョンアップ(Spring boot)
https://www.jpcert.or.jp/newsflash/2022040101.html
JPCERTでSpring Frameworkの脆弱性が見つかったのでバージョンアップしました。
対象
- Spring Framework 5.3.0から5.3.17
- Spring Framework 5.2.0から5.2.19
条件
- JDK 9以上を使用している
- Apache Tomcatをサーブレットコンテナーとして使用している
- WAR形式でデプロイされている
- プログラムがspring-webmvcあるいはspring-webfluxに依存している
対策
- Spring Framework 5.3.18およびそれ以降にバージョンアップ
- Spring Framework 5.2.20およびそれ以降にバージョンアップ
バージョンアップ
Spring bootとSpring Frameworkの対応表がありました。※パッチバージョンの記載はないようです。
https://qiita.com/gate9/items/7351557829d7e1e668e9
Spring boot | Spring Framework |
---|---|
2.6.6 | 5.3.18 |
2.5.12 | 5.3.18 |
2.4.13 | 5.3.13 |
2.3.12.RELEASE | 5.2.15.RELEASE |
2.2.5.RELEASE | 5.2.4.RELEASE |
build.gradleのSpring bootのバージョンを変更して「Gradle Projectのリフレッシュ」を行います。
1 2 3 4 5 6 7 8 9 |
plugins { id 'org.springframework.boot' version '2.6.6' // ★ id 'io.spring.dependency-management' version '1.0.11.RELEASE' id 'java' } dependencies { implementation 'org.springframework.boot:spring-boot-starter-web' } |
EclipseでSpring Frameworkバージョン確認方法
Gradleプロジェクトで、「プロジェクトと外部の依存関係」が表示されるので、その中にあるspring-aop、spring-beans、spring-coreなどはみなSpring Frameworkのjarです。
そのjarの右横に記載されているのがバージョンです。
※GradleWrapperが古い場合エラーとなる場合があるので、Wrapperのバージョンアップも必要なケースがあります

KHI入社して退社。今はCONFRAGEで正社員です。関西で140-170/80~120万から受け付けております^^
得意技はJS(ES6),Java,AWSの大体のリソースです
コメントはやさしくお願いいたします^^
座右の銘は、「狭き門より入れ」「願わくは、我に七難八苦を与えたまえ」です^^